Ukrajina strahuje od novog talasa napada ransomwarea

Vesti, 24.08.2017, 11:00 AM

Ukrajinske vlasti i kompanije strahuju da bi zemlju mogao da pogodi novi talas napada ransomwarea, na koji je upozorila ukrajinska firma ISSP, koja je izvestila da je još jedan proizvođač knjihovodstvenog softvera hakovan i da se njegovi serveri iskorišćeni za širenje malvera.

Novi incident sa ransomwareom skoro je identičan onom sa NotPetya ransomwareom koji se dogodio 27. juna, kada su sajber kriminalci hakovali servere firme Intellect Services i trojanizovali pakete ažuriranja za softver za računovodstvo M.E.Doc koji je kasnije širio najmanje tri ransomwarea u tri navrata - ransomware XData, NotPetya i ransomware sličan ransomwareu WannaCry.

Ovog puta hakovani su serveri konkurentske firme Crystal Finance Millennium (CFM).

U ovom slučaju nisu kompromitovani sistemi za ažuriranje, već samo serveri kompanije koji su iskorišćeni za čuvanje malvera.

Kostin Raiu, direktor istraživanja i analitike u kompaniji Kaspersky Lab kaže da su serveri hakovani 18. avgusta, a možda i pre. Od tada, kriminalci su na različite email adrese poslali fišing emailove sa ZIP fajlom koji sadrži JavaScript fajl. Kada korisnici pokrenu JS fajl, preuzima se fajl load.exe sa servera firme CFM. Load.exe kasnije preuzima ransomware Purge, iz familije ransomwarea Globe. Kaspersky Lab je ovu verziju nazvao Purgen i stavio je na 9. mesto liste vodećih ransomwarea.

Oktobra prošle godine, kompanija Emsisoft je objavila besplatan alat za dešifrovanje za Purge, ali se ne zna da li alat radi i sa novijim verzijama malvera.

Prema informacijama iz izveštaja ISSP Labsa, napadi su bili deo veće kampanje distribucije malvera, sa fajlovima sličnim fajlu load.exe preuzimanim sa servera drugih kompanija. U jednom slučaju, o kome je govorio istraživač iz kompanije Sophos, load.exe fajl se širio sa drugog servera i doveo je do infekcije bankarskim trojancem Zbot. U drugom slučaju, umesto Zbot trojanca, pojavio se bankarski trojanac Chthonic.

Ukrajina strahuje od novog talasa infekcija, zbog toga što se prethodni talas dogodio dan pre Dana ustavnosti Ukrajine. Danas se u Ukrajini obeležava Dan nezavisnosti i otuda zabrinutost vlasti i kompanija.

Infekcije ransomwareom NotPetya mnogi pripisuju ruskoj grupi TeleBots koja se bavi sajber špijunažom, i za koju stručnjaci kažu da je verovatno odabrala da NotPetya ransomware širi dan pre nacionalnog praznika da bi šteta bila maksimalna. Ukrajinske vlasti i firme počele su da strahuju od novog talasa napada kad se saznalo da su hakovani serveri firme CFM.

Web hosting provajder firme CFM je reagovao brzo, tako da sajt kompanije trenutno nije u funkciji kako se ransomware ne bi dalje širio.