Servere beslaglagt hos ukrainsk softwarefirma: NotPetya spredte sig via bagdør

Cyberangrebet, som for nylig ramte en række globale virksomheder, ser ud til at være startet gennem en bagdør i et stykke ukrainsk software, som bagmændene har udnyttet i månedsvis.

De fleste sikkerhedseksperter er nu enige om, at cyberangrebet, som nu er kendt som NotPetya, startede den 27. juni ved hjælp af opdateringsfunktionen i programmet M.E.Doc. Tirsdag beslaglagde ukrainsk politi flere servere, som tilhører firmaet bag M.E.Doc, skriver Reuters.

Firmaet, hvis navn ifølge Reuters kan oversættes til Premium Service eller Intellect Service, er et familieejet firma, og i et interview mandag med Reuters afviste ejerne, at M.E.Doc havde haft noget med angrebet at gøre.

»Vi har studeret og analyseret vores produkt for tegn på hacking - det er ikke inficeret med virus, alting er fint, det er sikkert,« siger Olesya Linnik, partner i Intellect Service til Reuters.

Men allerede i den første analyse fra Microsoft blev der peget på programmet, som har 400.000 brugere og bruges både til kommunikation mellem virksomheder i Ukraine og til indberetning til skattemyndighederne i landet.

Læs også: Microsoft: Cyberangreb startede via opdateringsfunktion i skattesoftware - leverandør benægter

Ifølge sikkerhedsfirmaet ESET har der gennem flere måneder været en bagdør på serversiden i M.E.Doc, som er blevet brugt til flere angreb. Disse angreb har fortrinsvis været spearphishing, altså målrettede angreb via den interne kommunikationstjeneste i programmet, hvor man kan sende beskeder.

Det ser desuden ud til, at bagmændene har haft adgang til kildekoden til M.E.Docs systemer og på den måde har kunnet misbruge M.E.Doc til at sprede ransomware og en bagdør.

Spredte sig via lokalnetværk

Det særlige ved NotPetya-angrebet var, at malwaren indeholdt en orme-funktion, som gjorde den i stand til at sprede sig via lokalnetværk og dermed også gennem VPN-tunneller. Det er ifølge ESET sådan, at flere internationale koncerner som Merck og Mærsk er blevet ramt gennem kontorer eller partnere i Ukraine.

Gruppen, der ifølge ESET formentligt står bag, har gennem længere tid udført angreb især i Ukraine, og deres angreb har flere gange været destruktiv kryptering, som har udgivet sig for at være ransomware, men hvor nøglerne er blevet kasseret, så der aldrig har været nogen chance for at dekryptere data, selvom løsesummen blev betalt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize