Oekraïense politie legt beslag op servers die NotPetya verspreidden
De Oekraïense politie heeft de servers in beslag genomen van het softwarebedrijf Intellect Systems dat de ransomware NotPetya verspreidde, zo meldt Reuters. De hackers vergrepen zich aan de boekhoudsoftware MEDoc aldus beveiligingsbedrijf ESET, waardoor het cyberparasiet een hoop slachtoffers maakte in Oekraïne. Veel bedrijven gebruikten deze applicatie om hun belastingen in te dienen.
Achterpoortje
Volgens het hoofd van de Oekraïense cyberpolitie zijn de servers in beslag genomen in het kader van een onderzoek naar de malware. Eerder ontkende Intellect Systems iets te maken te hebben met de verspreiding, maar volgens een Britse beveiligingsexpert werd het automatische updatesysteem van MEDoc gecompromitteerd. Daardoor werden geen updates, maar malware gedownload.
Het Slowaakse beveiligingsbedrijf ESET bevestigt dit: er zijn inderdaad updates aangetroffen met backdoors. “We hebben een achterpoortje gevonden die door de agressors in de modules werd geïnjecteerd”, aldus hoofdonderzoeker Anton Cherepanov. “Uit verder onderzoek moet blijken hoe deze zijn aangebracht, maar dit kan waarschijnlijk niet zonder toegang tot de broncode van de software.”
Binary blob
Vermoedelijk hadden de aanvallers controle over de server. Op die manier konden ze onderscheid maken tussen normaal verkeer en het verkeer van geïnfecteerde systemen. Volgens ESET werd de backdoor niet alleen gebruikt voor het verzamelen van informatie, zoals registratienummers van Oekraïense bedrijven, gebruikersnamen en wachtwoorden. Hackers konden dankzij het achterpoortje ook een binary blob ontvangen, waarna ze bijvoorbeeld een bestand of commando kunnen uitvoeren. Waarschijnlijk konden ze op die manier de ransomware NotPetya verspreiden.