Украина опасается новой волны заражения вымогательским ПО

В канун Дня независимости на серверах украинской компании был обнаружен троян.

Украинские власти и предприятия обеспокоены заявлением местной фирмы по безопасности ISSP Labs. Сообщается о взломе ещё одногопроизводителяпрограммного обеспечения для бухгалтерского учета. Серверы производителябыли использованы для распространения вредоносных программ.

Инцидент почти идентичен тому, как 27 июня этого года началась вспышка заражения вредоносной программой NotPetya. Тогда хакеры взломали серверы компании Intellect Services и заменили пакеты обновлений бухгалтерскойпрограммы MEDoc вредоносным ПО. Эксперты упоминаютпо меньшей мере три различных вида вымогательского ПО распостраняемых с серверов производителя (XData, NotPetya и клон WannaCry).

На этот раз, согласно двум отчетам
от ISSP Labs, хакеры обошли защиту серверов Crystal Finance Millennium (CFM), еще одного разработчика программного обеспечения для бухгалтерского учета. Хакерам не удалось проникнуть в системы обновления ПО от CFM, но они смогли получить доступ к web-сайтукомпании и использовать его для распостранениявредоносных программ.

По словам директора отдела глобальных исследований и анализа «Лаборатории Касперского» Костина Раю (Costin Raiu), злоумышленники взломали серверы компании в районе 18 августа.За это время группа отправила фишинговые письма множеству целей. Письма содержали ZIP-архив, в котором присутствовал файл JavaScript. Когда пользователи распаковывали архив и запускали JS-файл, скрипт загружал файл под названием load.exe с web-сервера CFM.

В последствии файл load.exe загружал программу-вымогатель Purge, подвид целого семейства вымогательского ПО Globe. Данная программа занимает 9-е место в списке
лучшего вымогательского ПО за второй квартал 2017. Еще в октябре прошлого года Emsisoft выпустила бесплатный дешифратор для данной версии Globe, но нет никаких гарантий, работы дешифратора с более новыми версиями.

Обеспокоенность украинских властей обусловленна обнаружением вредоносанасервере украинской компании именно в канун Дня независимости. В свое время, вспышка заражения NotPetya также произошла 27 июня, за день до Дня Конституции Украины.

Многие фирмы по безопасности связали NotPetya с российской кибер-шпионской группой TeleBots. ESET и другие эксперты, заявлявшие, что TeleBots решили распространить NotPetya за день до государственного праздника, чтобы максимизировать ущерб. Украинские власти и местные компании опасались второй атаки TeleBots, после того, как узнали о взломе серверов CFM.

По словам представителей сервиса MalwareHunter, опасения напрасны. Сейчас В Украине затишье касательно заражения вымогательским ПО, за исключением нескольких случаев заражения программой PSCrypt. На момент написания этой статьи поставщик веб-хостинга CFM уже вмешался и отключил web-сайт компаниидля предотвращения распространения вредоносного файла.