IT в Украине

[Nortaga]

Так это уже точно установлено ? (я не стебусь, просто спрашиваю)

Встановлено точно, що апдейт-сервер крутився на старій версії FreeBSD (яка вже не підтримується/оновлюється), а також використовувався старий (дірявий) FTP-сервер там же.

Народ прикинув, що навіть не потрібно було трафік крутити, а просто через фтп залити вже заражені апдейти. Тобто криворукість системи вражає, не тільки на рівні програмування (апдейти без сертифікату), але й на рівні адміністрування апдейт-серверу. Що означає не потрібно було якихось крутих хакерів і ресурсів, щоби провести цю кібер-атаку.

[Ogi-dogi]

Вообще-то частенько можно быстро выяснить, чем занимается пользователь, заглянув именно в корзину. Потому держу её пустой, даже дома.

Не останавливайся. Подсунь им две-три пустых корзины, а свою тщательно прячь и береги. 

[Кіндрат Калистратович]

Вообще-то частенько можно быстро выяснить, чем занимается пользователь, заглянув именно в корзину. Потому держу её пустой, даже дома.

Не останавливайся. Подсунь им две-три пустых корзины, а свою тщательно прячь и береги. 

[Shana]

 

Американська газета стверджує, що вірус Petya, який нещодавно зашкодив роботі низки українських компаній, розробили в Агенстві національної безпеки США, звідки його викрали хакери.
Про це йдеться у матеріалівидання  New York Times, передає DT.ua.
За інформацією джерел видання, віруси Petya та WannaCry, який у травні виводив з ладу лікарні, залізниці та заводи у світі, розробили в АНБ. Згодом група хакерів, які називають себе "Shadow Brokers", якимось чином викрала цю кіберзброю та оприлюднила її у квітні. Спочатку хакери виставили віруси на продаж, а нещодавно навіть почали пропонувати місячну підписку. Хто такі Shadow Brokers - досі невідомо.
Колишні офіцери розвідки розповіли NYT, що немає жодних сумнівів, звідки взялася кіберзброя в руках групи. Її розробив підрозділ американської спецслужби, який донедавна називався "Підрозділом зі спеціальних операцій отримання доступу".
За оцінкою видання, АНБ приховує свою роль у розробці кіберзброї, відкидаючи безліч запитань. Так, прес-секретар Ради національної безпеки США Майкл Ентон в Білому домі заявив, що адміністраці "відповідально підходить до балансу між інтересами національної безпеки, громадською захищеністю і безпекою", відмовивши коментувати походження будь-якого вірусу, включно з Petya.
Експерти також розповіли виданню, що АНБ навряд, чи відмовиться від розвитку вразливостей операційного забезпечення Microsoft, хоч кіберзброя США і потрапила у погані руки.
Видання пише, що нещодавно в Україні хакери використали код, розроблений АНБ, для того, щоб заблокувати системи в лікарнях, супермаркетах і навіть системи радіаційного моніторингу в Чорнобилі. Більше того, у матеріалі стверджують, що вимагання викупу за ключ для розшифрування файлів було лише димовою завісою. Справжньою ж метою кібератаки було знищити комп’ютери жертв.
У середу увечері прес-секретар Ради національної безпеки США Майкл Ентон в Білому домі зауважив, що американський уряд "використовує чіткий міжвідомчий процес на високому рівні для ухвалення рішень про розкриття відомостей про вразливості" у програмному забезпеченні, "на відміну від всіх інших країн світу".
За словами Ентона, адміністрація "відповідально підходить до балансу між інтересами національної безпеки, громадською захищеністю і безпекою". Але при цьому відмовився коментувати походження будь-якого коду включно з останнім розповсюдженим вірусом Petya.
Як пише видання, натомість американський уряд звинувачує інших в розробці кіберзброї. Так, два тижні тому Департамент внутрішньої безпеки США заявив, що до атак за допомогою іншого вірусу WannaCry у травні причетна КНДР. А от до атак за допомогою Petya уряд припускає причетність Росії.
Видання пише, що використання частин американської кіберзброї у злочинах - не нове явище. Елементи комп'ютерного вірусу Stuxnet, який виводив з ладу іранські центрефуги, нещодавно були помічені у кількох кібератаках. За останні кілька місяців хакери використовували коди, розроблені АНБ, для викрадення фінансових даних у американських компаній, які потім використовувалися для крадіжки цифрових грошей.

[Фрипп]

Для тех, кто далек от вирусологии, на одном краю будет рассказ гостя с продажного ньюсвана о том, что вирус типа Петя может сделать один человек в подвале на телефоне, с другой - что его создали в АНБ. Как бы оба этих объяснения не объединились в одномерный взгляд на этот вопрос.

[Старина Z]

Позвонила продавщица с рынка, у которой курятину покупаю, сказала, что ее завтра на рынке не будет: поставщики из-за вируса не смогли выписать накладные и сделать ей отгрузку.
Вот такое вот влияние вирусной атаки на реальный сектор. 

[Фрипп]

Видел сегодня 2 неработающих банкомата ОТП. На одном на экраны высвечивалась надпись о технической неисправности, на втором - по старому, на листе А4

[Фрипп]

Может кто не читал - Трагедия и фарс–украинские CIO и 150долларовые админы,российский след и “атака ФСБ”,тотальный факап Microsoft Ukraine–все, что вам надо знать о причинах вчерашней вирусной атаки в Украине

[chucha]

Может кто не читал - Трагедия и фарс–украинские CIO и 150долларовые админы,российский след и “атака ФСБ”,тотальный факап Microsoft Ukraine–все, что вам надо знать о причинах вчерашней вирусной атаки в Украине

Этот тот самый долбоеб, который много лет от лица Майкрософта обучал народ на рынке? Вообще я как вижу слово "галера" так это сразу диагноз.

[invariant]

Второй раз за неделю наблюдал в приватовских банкоматах сообщение об истечении срока действия какого-то сертификата безопасности. Операциям с карточками оно не мешает, но глаза мозолит. Хочется кнопочку нажать - а нечем. 

[В.И.Лемминг]

Этот тот самый долбоеб, который много лет от лица Майкрософта обучал народ на рынке? Вообще я как вижу слово "галера" так это сразу диагноз.

Но аргумент, что столь массовое поражение вирусом в Украине случилось из-за массовой небрежности админов и неграмотности пользователей, состоятелен?

[chucha]

аргумент, что столь массовое поражение вирусом в Украине случилось из-за массовой небрежности админов и неграмотности пользователей, состоятелен?

Да. Точно так же как во все  мире. Хорошие специалисты дороги, и мало кто может их себе позволить.
 Ну а слушать это от лица человека, который 10 лет работал в MS Украина консультантом по IT инфраструктуре - это прекрасно. Вот он и наработал. Теперь белый человек всех глупых неумех поучает из  айти столицы мира, Словакии. Насколько я помню

[Фрипп]

Да, аргументов правильных хватает у него, форма и прочие сопутствующие детали - раскрывают его "красоту".

[В.И.Лемминг]

Теоретически, если б подобная атака целенаправленно осуществлялась по той же Словакии или там Германии последствия были бы сходны?

[Фрипп]

По моей оценке - т.е. не точно, было бы также только если бы эта атака была сделана еще до опубликования патчей, т.е. заранее зараженные компы в один день выстрелили и попортили данные.

Ну и второй аспект - скорость восстановления после сбоя. Тут Украина впереди всех, в плохом смысле слова.

[Старина Z]

Теоретически, если б подобная атака целенаправленно осуществлялась по той же Словакии или там Германии последствия были бы сходны?

Были бы сходны.

[Tamerlan]

По моей оценке - т.е. не точно, было бы также только если бы эта атака была сделана еще до опубликования патчей, т.е. заранее зараженные компы в один день выстрелили и попортили данные.

Ну и второй аспект - скорость восстановления после сбоя. Тут Украина впереди всех, в плохом смысле слова.

Могу сказать на своем опыте. Несколько лет назад во время эпидемии Conficker инфраструктура нашего заказчика в Европе оказалась поражена этим червем. Причина была в том, что под новый год корпоративный регламент запрещает любые крупные изменения в инфраструктуре, включая установку критических обновлений. И тут этот момент как раз совпал с появлением червя, эксплуатирующего критическую уязвимость в Windows. В результате червь проник на корпоративные сервера и пошел гулять во всей внутренней подсети, местами парализуя работу целых подразделений. Червь очень противный и живучий. Банальное обновление системы и чистка антивирусом не спасали. Приходилось почти все сервера вручную вычищать. На окончательную победу над червем в итоге у нас ушло около полугода.

[Фрипп]

Да, слава богу этот аспект уязвимости - а запрет на изменения на ПРОДах перед НГ вещь довольно распространенная, вирусописатели пока активно не эксплуатируют.

[chucha]

Теоретически, если б подобная атака целенаправленно осуществлялась по той же Словакии или там Германии последствия были бы сходны?

Тут и теоретизировать не надо. Атака WannaCry приключилась через три месяца после выпуска патча для SMB. Под раздачу попали очень многие, по всему миру.

[Старина Z]

На окончательную победу над червем в итоге у нас ушло около полугода.

Старый адвокат Рабинович уходит на заслуженный отдых и передает все дела конторы своему сыну-выпускнику юрфака.
Через неделю работы сынок прибегает к отцу и кричит:
- Отец! Я выиграл то самое дело Иванова, с которым ты не мог разобраться последние десять лет! Поздравь меня!
- Что ж ты наделал, сынок?! Это дело кормило нас последние десять лет...

[chucha]

Ну и второй аспект - скорость восстановления после сбоя. Тут Украина впереди всех, в плохом смысле слова.

А что со скоростью то? За сутки вся критичная инфраструктура была восстановлена. Нормальное время. Мы вон, пару недель назад, базу шесть часов поднимали, безо всяких вирусов - просто сбой хранилища.

[Фрипп]

Ну, например, вчера в двух отделениях своего банка я не смог снять деньги. Они не работали. Банкоматы, я имею ввиду.

[Tamerlan]

На окончательную победу над червем в итоге у нас ушло около полугода.

Старый адвокат Рабинович уходит на заслуженный отдых и передает все дела конторы своему сыну-выпускнику юрфака.
Через неделю работы сынок прибегает к отцу и кричит:
- Отец! Я выиграл то самое дело Иванова, с которым ты не мог разобраться последние десять лет! Поздравь меня!
- Что ж ты наделал, сынок?! Это дело кормило нас последние десять лет...

Нет, это не тот случай.  Контракт на обслуживание у нас был в любом случае на несколько лет. А борьба с вирусом только добавляла нам работы. Так что мы сами были заинтересованы в том, чтобы все сделать как можно быстрее и качественнее.

[franco]

Тут какие-то смутные слухи ходят о второй волне. Никто не слышал ничего?

[Mike123]

Тут какие-то смутные слухи ходят о второй волне. Никто не слышал ничего?

Ну, остатки, по любому, будут. Но что началось такое же глобальное - не, не слышал.

[Старина Z]

Тут какие-то смутные слухи ходят о второй волне. Никто не слышал ничего?

Сегодня вроде 1С-Звит закашлял.

[Nortaga]

ESET обнаружила сложный бэкдор, который использовался для установки шифраторов Petya и XData

ESET представила новый отчет об эпидемии шифратора Diskcoder.C (Petya). Исследование позволило определить начальный вектор заражения.

От Diskcoder.C (Petya) пострадали компании в ряде стран мира, при этом «нулевым пациентом» стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчетности и документооборота. Атакующие получили доступ к серверу обновлений M.E.Doc и с его помощью направляли троянизированные обновления с автоматической установкой.

Эксперты ESET обнаружили сложный скрытый бэкдор, внедренный в один из легитимных модулей M.E.Doc. Маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы.

Изучив все обновления M.E.Doc, выпущенные в 2017 году, исследователи выяснили, что модуль бэкдора содержали как минимум три апдейта:

- 01.175-10.01.176 от 14 апреля 2017 года
- 01.180-10.01.181 от 15 мая 2017 года
- 01.188-10.01.189 от 22 июня 2017 года

Эпидемия Diskcoder.C (Petya) началась через пять дней после выхода вредоносного обновления 22 июня.

Ранее, в мае, ESET фиксировала активность другого шифратора – Win32/Filecoder.AESNI.C (XData). По данным телеметрии, он появлялся на компьютере после запуска программного обеспечения M.E.Doc.

Интересно, что 17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. Вероятно, этим можно объяснить сравнительно небольшое число заражений XData. Атакующие не ожидали выхода апдейта 17 мая и запустили шифратор 18 мая, когда большинство пользователей уже успели установить безопасное обновление.

Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО – так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.

«Нам предстоит ответить на ряд вопросов, – комментирует Антон Черепанов, старший вирусный аналитик ESET. – Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой?».

ESET продолжает исследование угрозы. По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты установили связь между эпидемией Diskcoder.C (Petya) и кибергруппой Telebots. Достоверно определить, кто стоит за деятельностью этой группировки, в настоящее время не представляется возможным.

ESET рекомендует всем пользователям M.E.Doc сменить пароли прокси-серверов и учетных записей электронной почты!

Антивирусные продукты ESET детектируют бэкдор как MSIL/TeleDoor.A.

https://www.esetnod32.ru/company/press/center/eset-obnaruzhila-slozhnyy-bekdor-kotoryy-ispolzovalsya-dlya-ustanovki-shifratorov-petya-i-xdata-/

[Nortaga]

Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.

В сообщениях утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.

Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:

- сбор данных для доступа к почтовым серверам;
- выполнение произвольных команд в инфицированной системе;
- загрузка на зараженный компьютер произвольных файлов;
- загрузка, сохранение и запуск любых исполняемых файлов;
- выгрузка произвольных файлов на удаленный сервер.

https://habrahabr.ru/company/drweb/blog/332444/

Це тільки кусок, повний текст за посиланням. Походу 1С-Звіт використовує ту ж длл, що і Медок.

[mxm ♔]

На всякий случай, Перелік програмного забезпечення, за допомогою якого можливо здійснювати електронне звітування
Кстати, там всего 7 пунктов...

[Фрипп]

Вот тут несколько куцая но все же статья об альтернативах медку.

http://ko.com.ua/est_li_alternativy_m_e_doc_120676