Вирус Petya.A выведывал коды ЕГРПОУ пострадавших предприятий, – эксперты
Вирус Petya.A, который поразил компьютеры украинских предприятий и госучреждений через бухгалтерскую программу M.E.Doc, собирал уникальные коды предприятий (ЕГРПОУ). Об этом говорится в отчете антивирусной компании ESET.
По словам экспертов, используя этот код, злоумышленники могут проводить целенаправленную атаку против конкретной компании или организации.
При этом в случае новой атаки киберпреступники будут работать уже изнутри, через заращенный троянским модулем компьютер.
Программа "M.E.Doc" может обслуживать сразу несколько организаций, и однажды установленный "троян" будет знать все ЕГРПОУ на зараженном компьютере – и сможет отправить эти коды преступникам.
Кроме ЕГРПОУ, "троян" также собирает настройки прокси и почты, включая логины и пароли зараженного приложения "M.E.Doc".
Напомним, разработчик ПО "M.E.Doc", с 27 июня категорически отрицавший использование программы в кибератаке, 5 июля признал "беспрецедентный факт взлома", в результате которого в продукт был внесен вредоносный программный код в пакет обновления.
Согласно сообщению, разработчик создал обновление, которое "гарантированно исключает угрозы для пользователей", однако в ходе обыска полицией при участии СБУ 4 июля сервера компании были временно изъяты для анализа проникновения.
Как заявил ранее глава МВД Арсен Аваков, повторная атака вируса началась 4 июля в 13.40, но к 15.00 специалисты Киберполиции успели заблокировать активацию вируса на серверах "M.E.Doc".
Эксперты ранее обращали внимание на уязвимость M.E.Doc.
"Авторы программы хотели сделать свой продукт максимально доступным, ориентируясь на пользователей устаревших версий ОС, а также не тратиться на SSL-сертификат, поэтому обновления раздавались через незащищенный http. Тенденция же, когда хакеры ищут уязвимости в устаревшем оборудовании, протоколах связи и пр., наметилась еще пару лет назад", — отметила PR-менеджер компании DDoS-GUARD Ольга Бревде.