WIIKI.RU: Эпидемия Petya

Информационные технологии представляют собой широкий класс дисциплин и сфер деятельности, которые относятся к технологиям создания, хранения, управления, ... читать далее »

Новости ИТ

04.08.2017 11:49

Эпидемия Petya. Информационные технологии.

27 июня 2017 года мир познакомился с новой версией вируса Petya. Была эта версия шифровальщиком или нет, специалисты считали по-разному. Многие говорили, что задача Petya заключалась в повреждении информации на дисках без возможности восстановления, а специалисты F-secure решили, что вирус все-таки похож на шифровальщика, но его природа была изменена из-за ошибок создателей.

Специалисты таких компаний, как Microsoft, ESET, Cisco Talos и "Лаборатория Касперского" после глубокого анализа опубликовали отчеты, в которых указали взаимосвязь распространения Petya с программой M.E.Doc. Исследователи обнаружили бэкдор в модулях ПО M.E.Doc, который способствовал распространению Petya и XData. Через бэкдор был запущен малварь, который собирал данные для входа в приложения M.E.Doc, почту, настройки прокси-серверов и коды компаний.

Опираясь на изученные инструменты, исследуя цели атак, специалисты компании ESET предположили, что зловреда Petya запустила хакерская группа Telebots. Еще в 2016 году специалистами ESET было опубликовано исследование, доказывающее атаки этой группы на предприятия Украины. Для своей атаки они использовали вредонос под названием KillDisk, который удалял определенные файлы. В последующих атаках группа хакеров дорабатывала KillDisk, добавляя новые функции. Таким образом, Petya распространялся в корпоративных сетях с помощью старых методов, а именно используется эксплойт EternalBlue и Mimikatz, механизм WMI и PsExec.

Разработчики M.E.Doc до последнего отрицали свое отношение к распространению Petya. Спустя несколько дней после начала эпидемии киберполиция Украины изъяла серверы M.E.Doc. После этих действий разработчики поместили информацию о компрометации на странице в Facebook.