ESET представила новый отчет об эпидемии шифратора Diskcoder. C (Petya). Исследование позволило определить начальный вектор заражения.
От Diskcoder. C (Petya) пострадали компании в ряде стран мира, при этом «нулевым пациентом» стали украинские пользователи M. E. Doc, корпоративного программного обеспечения для отчетности и документооборота. Атакующие получили доступ к серверу обновлений M. E. Doc и с его помощью направляли троянизированные обновления с автоматической установкой.
Эксперты ESET обнаружили сложный скрытый бэкдор, внедренный в один из легитимных модулей M. E. Doc. Маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы.
Изучив все обновления M. E. Doc, выпущенные в 2017 году, исследователи выяснили, что модуль бэкдора содержали как минимум три апдейта:
· 01.175-10.01.176 от 14 апреля 2017 года
· 01.180-10.01.181 от 15 мая 2017 года
· 01.188-10.01.189 от 22 июня 2017 года
Эпидемия Diskcoder. C (Petya) началась через пять дней после выхода вредоносного обновления 22 июня.