Міністр внутрішніх справ повідомив, що пік атаки планувався на 16:00 4 липня 2017 року. Атака стартувала о 13:40, а до 15:00 кіберполіції заблокувала розсилку та активацію вірусу з серверів інформаційної системи «М.Е.Doc».
«Вірус Diskcoder. C – він же ExPetr, PetrWrap, Petya, NotPetya – прикриття масштабної кібератаки в історії України. Другий етап кібератаки був зупинений вчора. Сервера вилучені, зі слідами впливу кіберзлочинців, з очевидними джерелами з РФ. Дякую спецагентам за службу!», – зазначив глава правоохоронного відомства.
Нагадаємо, 27 червня 2017 року о 10:30 українські державні структури і приватні компанії через уразливості ПО «MEdoc.» (Програмне забезпечення для звітності та документообігу) масово потрапили під удар вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).
Для локалізації масштабної кіберзагрози, Національною поліцією України та Службою безпеки України був створений оперативно-технічний штаб, до якого увійшли представники найвідоміших українських і закордонних компаній з кібербезпеки. За вказаними фактами Національною поліцією України розпочато досудове розслідування.
Експертами було встановлено, що поразка інформаційних систем українських компаній відбулося за допомогою оновлення програмного забезпечення, призначеного для звітності та документообігу – «M.E.Doc».
За отриманими даними (підтверджено правоохоронними органами іноземних держав і міжнародними компаніями, які здійснюють діяльність в сфері інформаційної безпеки), зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника зазначеного програмного забезпечення – ТОВ «Інтелект-Сервіс».
«Отримавши доступ до вихідного коду, зловмисники в одне з оновлень програми вбудували бекдор (backdoor) – програму, яка встановлювала на комп’ютерах користувачів«M.E.Doc »несанкціонований віддалений доступ. Таке оновлення програмного забезпечення, ймовірно, сталося ще 15 травня 2017 року. Представники компанії-розробника «M.E.Doc» були проінформовані про наявність уразливих місць в їх системах антивірусними компаніями, але даний факт був проігнорований. Компанія-виробник заперечує проблеми з безпекою і назвала це «збігом». Разом з тим встановлено, що виявлений бекдор по функціоналу має можливість збирати коди ЄДРПОУ уражених компаній, і відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів», – уточнив Арсен Аваков.
Міністр внутрішніх справ повідомив, що після спрацьовування бекдора, атакерів компрометували облікові записи користувачів з метою отримання повного доступу до мережі. Далі отримували доступ до мережного обладнання для виведення його з ладу. За допомогою IP KVM здійснювали завантаження власної операційної системи на базі TINY Linux.
Зловмисники, з метою приховування вдалої кібероперації щодо масового ураження комп’ютерів і несанкціонованого збору інформації, тим же самим способом, через оновленням «M.E.Doc» поширили модифікований ransomwarePetya.
Видалення і шифрування файлів операційних систем, було скоєно з метою знищення слідів попередньої злочинної діяльності (бекдора), і відволікання уваги шляхом імітації вимагання грошових коштів від потерпілих.
«Слідством опрацьовується версія, що справжніми цілями були стратегічно важливі для держави підприємства, атаки на які могли дестабілізувати ситуацію в країні. Комплексний аналіз обставин зараження дозволяє припустити, що особи, які 27 червня 2017 року, організували напад з використанням WannaCry можуть бути причетні до вірусній атаці на українські державні структури і приватні компанії, оскільки способи поширення і спільна дія подібні вірусу-шифрувальник (ransomware) Diskcoder .C (ExPetr, PetrWrap, Petya, NotPetya)», – зазначив Арсен Аваков.
Також глава МВС повідомив, що з метою негайного припинення безконтрольного поширення Diskcoder.C (нова активність була зафіксована 04.07.2017 о 13.40), а також з огляду на бездіяльність посадових осіб ТОВ «Інтелект-Сервіс», які, незважаючи на неодноразові попередження антивірусних компаній і Департаменту кіберполіції, вводили в оману своїх користувачів, запевняючи їх в безпеці ВО «MEDoc» – прийнято рішення про проведення обшуків і вилучення програмного і апаратного забезпечення компанії, за допомогою якого поширювалася загрозливе програмне забезпечення.
«Обшуки проведені представниками Департаменту кіберполіції, Головного слідчого управління, за участю Служби безпеки України. Об’єктами огляду є робочі комп’ютери персоналу і серверне обладнання, за допомогою якого поширювалася програмне забезпечення. Департамент кіберполіції настійливо рекомендує всім користувачам змінити паролі і електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані », – підкреслив Арсен Аваков.