Per chi segue la nostra pagina Facebook avrà notato il video del raid eseguito dalla polizia Ucraina negli uffici della Intellect Service, nome dell’azienda che sta dietro al software M.E.Doc.
La situazione riscontrata dagli esperti mandati in loco è di notevole gravità, infatti il TaCES di Cisco (Talos Critical Event Response System) ha evidenziato numerose criticità nei server usati per la distribuzione del software, prima tra tutti obsolete versioni dell’OpenSSH oltre a non aver aggiornato la piattaforma in uso dal lontano 2013.
Oltre a questo gli esperti Cisco hanno rilevato che il primo accesso è stato tramite le credenziali di un dipendente che ha permesso di piazzare le backdoor nel software MEDoc e nel codice web PHP del server.
Inoltre, sono state rilasciate tre diverse versioni con tre rispettive backdoor le quali sono state usate per diffondere il ransom XData (la seconda) e il NotPetya (la terza). La backdoor è stata camuffata dietro un file DLL chiamato ZvitPublishedObjects.dll: questo è stato prontamente analizzato da Eset, che aggiunge la possibilità che dietro a questi attacchi possa esserci un gruppo di cyber-spionaggio chiamato Telebots.
Il “bello” della questione è che il gruppo Telebots ha impostato che il malware non comunichi con alcun server C&C bensì che dialoghi direttamente con il server Intellinet, usato quindi con funzioni C&C all’indirizzo upd.me-doc.com[.]ua
Di seguito un infografica fornita da Cisco che spiega il comportamento intrapreso dal ransom:
Sembra che l’intervento della polizia abbia fermato un altra ondata di attacchi eseguiti con NotPetya, il problema ora rimane il fatto che moltissime aziende in Ucraina usano questo software per la gestione finanziaria, cosa che ha spinto alcune aziende ad usare una versione del file reperita da fonti NON ufficiali come Dropbox o GDrive, cosa che può però esporre gli utenti ad ulteriori infezioni.
Di seguito il video del raid:
Vedremo come si evolverà la situazione. Aggiorneremo l’articolo in caso di eventuali novità. Ricordatevi di seguire la nostra pagina Facebook per ricevere novità dal mondo della sicurezza!
Via: Cisco’s Talos Intelligence Group Blog: The MeDoc Connection
Via: Cisco’s Talos Intelligence Group Blog: The MeDoc Connection