Servere beslaglagt hos ukrainsk softwarefirma: NotPetya spredte sig via bagdør

5. juli 2017 kl. 10:201
Cyberangrebet, som for nylig ramte en række globale virksomheder, ser ud til at være startet gennem en bagdør i et stykke ukrainsk software, som bagmændene har udnyttet i månedsvis.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

De fleste sikkerhedseksperter er nu enige om, at cyberangrebet, som nu er kendt som NotPetya, startede den 27. juni ved hjælp af opdateringsfunktionen i programmet M.E.Doc. Tirsdag beslaglagde ukrainsk politi flere servere, som tilhører firmaet bag M.E.Doc, skriver Reuters.

Firmaet, hvis navn ifølge Reuters kan oversættes til Premium Service eller Intellect Service, er et familieejet firma, og i et interview mandag med Reuters afviste ejerne, at M.E.Doc havde haft noget med angrebet at gøre.

»Vi har studeret og analyseret vores produkt for tegn på hacking - det er ikke inficeret med virus, alting er fint, det er sikkert,« siger Olesya Linnik, partner i Intellect Service til Reuters.

Men allerede i den første analyse fra Microsoft blev der peget på programmet, som har 400.000 brugere og bruges både til kommunikation mellem virksomheder i Ukraine og til indberetning til skattemyndighederne i landet.

Artiklen fortsætter efter annoncen

Ifølge sikkerhedsfirmaet ESET har der gennem flere måneder været en bagdør på serversiden i M.E.Doc, som er blevet brugt til flere angreb. Disse angreb har fortrinsvis været spearphishing, altså målrettede angreb via den interne kommunikationstjeneste i programmet, hvor man kan sende beskeder.

Det ser desuden ud til, at bagmændene har haft adgang til kildekoden til M.E.Docs systemer og på den måde har kunnet misbruge M.E.Doc til at sprede ransomware og en bagdør.

Spredte sig via lokalnetværk

Det særlige ved NotPetya-angrebet var, at malwaren indeholdt en orme-funktion, som gjorde den i stand til at sprede sig via lokalnetværk og dermed også gennem VPN-tunneller. Det er ifølge ESET sådan, at flere internationale koncerner som Merck og Mærsk er blevet ramt gennem kontorer eller partnere i Ukraine.

Gruppen, der ifølge ESET formentligt står bag, har gennem længere tid udført angreb især i Ukraine, og deres angreb har flere gange været destruktiv kryptering, som har udgivet sig for at være ransomware, men hvor nøglerne er blevet kasseret, så der aldrig har været nogen chance for at dekryptere data, selvom løsesummen blev betalt.

Emner
1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
Kim Kaos
6. juli 2017 kl. 08:50

Det ville være fedt at fange de typer og så lukke dem ind i et rum og så kassere nøglerne.

  • more_vert
    • insert_linkKopier link