Киберполиция: Одновременно с Bad Rabbit также велась скрытая атака на украинских пользователей 1С

Киберполиция: Одновременно с Bad Rabbit также велась скрытая атака на украинских пользователей 1С

В конце октября украинские компании подверглись очередной атаке вируса-шифровальщика. На этот раз злоумышленники использовали вирус Bad Rabbit – модификацию вируса Petya.А, который заразил компьютеры летом этого года. Среди пострадавших числились одесский аэропорт, киевский метрополитен и ряд других предприятий. Но, по словам главы Киберполиции Сергея Демедюка, за атакой вируса-шифровальщика скрывалась другая более важная кибератака.

«Есть открытая, мгновенно очевидная атака, а в это же время под полой происходит скрытая, хорошо продуманная атака, на которую никто не обращает внимания. Главная теория, над которой мы сейчас работаем, в том, что они (злоумышленники, стоящие за обеими атаками) были одними и теми же. Целью было получение удаленного и не обнаруженного доступа», — утверждает Демедюк.

Скрытая атака была направлена на пользователей бухгалтерского программного обеспечения 1С, которые получали фишинговые письма якобы от разработчика. Один из дистрибьюторов системы подтвердил, что клиенты стали целью атаки. Фишинговые письма рассылались, в том числе, с бесплатного украинского почтового сервиса.

Иронично, что «в связи с возрастающим количеством атак на программный продукт «1C Enterprise», авторы предлагали бесплатно поставить обновление, «позволяющее закрыть найденные бреши и повысить защищенность продукта». Архив с «обновлением» размещался на GitHub, но теперь заблокирован по DMCA-запросу.

Глава Киберполиции заявляет, что департаменту стало известно об атаке после того, как около 15 компаний сообщили о взломе. Пока что общее количество жертв правоохранителям выяснить не удалось.

Источник: AIN

  • В Украине 24 октября кибератаке подверглись Одесский аэропорт, Киевский метрополитен, а также Министерства инфраструктуры Украины. Государственная служба специальной связи и защиты информации накануне заявила, что в кибератаке на объекты инфраструктуры Украины использовали технику DDE.
  • К вечеру 24 октября СБУ сообщила о блокировании кибератаки. По информации Госспецсвязи, объекты инфраструктуры были атакованы вирусом-шифровальщиком Locky. Скрипт загружал в систему с одного из доступных на момент активации url… исполняемый файл heropad64.exe, который в свою очередь загружал на компьютер пользователя вирус-шифровальщик Locky.
  • Также пресс-служба Службы безопасности Украины опубликовала рекомендации по предотвращению несанкционированного блокирования информационных систем.
  • Вскоре были обнаружены сайты, ответственные за распространение вируса-вымогателя Bad Rabbit.