Информационная безопасностьНовости

Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc

Внимание специалистов и СМИ всего мира в последние дни сосредоточено вокруг новой версии шифровальщика Petya (он же NotPetya, SortaPetya, Petna, Nyetya, ExPetr и так далее), которая, по сути, является не вымогателем, а вайпером, то есть умышленно повреждает информацию на диске, почти не оставляя шансов на ее восстановление.

От атак вредоноса в основном пострадали страны СНГ и Европы, но наибольший урон получили украинские компании. Ниже можно увидеть свежий график распределения атак, составленный специалистами компании ESET.

Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc

ИБ-исследователь, известный под псевдонимом MalwareHunter, и журналисты сайта Bleeping Computer обратили внимание, что Petya стал уже четвертым вымогателем, атаковавшим украинские организации за последнее время. Так, первыми были шифровальщики XData (в середине мая 2017 года) и PSCrypt (на прошлой неделе). Затем произошла массовая атака Petya, а теперь MalwareHunter обнаружил еще одну угрозу, которая тщательно копирует нашумевший вымогатель WannaCry.

Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc

MalwareHunter признается, что мог бы не заметить вредоноса, если бы практически все добавленные на VirusTotal образцы малвари не поступали от украинских пользователей. Эта особенность привлекла внимание специалиста. Судя по всему, атака началась еще 26 июня 2017 года, за день до начала массового распространения Petya.

По словам специалиста, внешне малварь выглядит в точности как WannaCry, но не является полноценным клоном этого шифровальщика. Так, оригинальный WannaCry был написан на C, тогда как подражатель использует .NET. При этом MalwareHunter отмечает, что это один из наиболее талантливо написанных .NET-вредоносов, что ему приходилось видеть.

Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc
Подражатель WannaCry

Также подражатель не применяет для распространения эксплоиты ETERNALBLUE и DOUBLEPULSAR, а их можно назвать «визитной карточкой» оригинального WannaCry. Фактически, сходство с WannaCry начинается и заканчивается на GUI нового шифровальщика. Кстати, в отличие от многих других подделок под WannaCry, данная малварь действительно работает и «умеет» шифровать файлы.

Внимание исследователя привлек и еще один небезынтересный нюанс. Изучая поступившие на VirusTotal образчики поддельного WannaCry, специалист заметил упоминание продукции компании M.E.Doc (см. скриншот ниже). Это название в последние дни часто встречается на страницах СМИ и в отчетах экспертов.

Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc

В нашем обзоре ситуации, сложившейся вокруг Petya, мы уже писали о том, что еще 27 июня 2017 года украинская киберполиция сообщила, что по предварительным данным, шифровальщик Petya распространился на территории Украины так быстро и масштабно «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco TalosMicrosoft и «Лаборатории Касперского».

We are confident that trojanized MeDoc updates were used as an infection vector against several of our users. https://t.co/5lbvNhn6KX

— Costin Raiu (@craiu) June 29, 2017

Эксперты предположили, что именно M.E.Doc был «нулевым пациентом» и распространял Petya, так как вредонос применяет эксплоиты АНБ, переработанный опенсорсный инструмент Minikatz, а также WMI и PSEXEC для распространения внутри локальных сетей.

При этом 27 июня 2017 года на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре пропало с сайта и теперь доступно только в кеше Google. Вечером того же дня представители M.E.Doc опубликовали на своей странице в Facebook официальное сообщение,  в котором категорически опровергли свою причастность к распространению Petya.

Теперь MalwareHunter заметил, что один из компонентов подражателя WannaCry скрывается по адресу C://ProgramData//MedocIS//MedocIS//ed.exe. После этого исследователь предположил, что компания ответственна за распространение не одного вредоноса.

Страница M.E.Doc в Facebook в последние дни изобилует опровержениями. Компания продолжает утверждать, что не имеет никакого отношения к распространению Petya и привлекла к расследованию происходящего правоохранительные органы и специалистов Cisco, тогда как пользователи задают разработчикам вполне здравые вопросы:

Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc

Более того, вечером 29 июня 2017 года компания сообщила, что в связи с появлением информации о второй волне заражения, M.E.Doc временно отключает возможность автоматической загрузки обновлений. Согласно официальному заявлению, это было сделано исключительно ради того, чтобы избежать «появления новых спекуляций», а не из-за того что компания решила признать факт компрометации.

Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc
Так выглядела главная страница сайта M.E.Doc на момент написания этого материала

MalwareHunter и журналисты Bleeping Computer резюмируют, что все шифровальщики, атаковавшие Украину в последнее время, имеют схожий «почерк». Так, XData был основан на украденных исходных кодах вымогателя AES-NI, PSCrypt базировался на исходных кодах GlobeImposter, а NotPetya является сильно переработанной версией Petya 2016 года. Новая угроза, в свою очередь, маскируется под WannaCry.

Учитывая, что в двух случаях из четырех также фигурирует компания M.E.Doc (возможно, даже в трех случаях, так как XData, вероятно, тоже был связан с бухгалтерским ПО M.E.Doc), исследователи пишут, что происходящее больше похоже на спланированную операцию «правительственных хакеров», нежели на цепь случайных совпадений. Впрочем, пока эксперты лишь строят теории о том, на каких именно «правительственных хакерах» может лежать ответственность за происходящее, так как речи о каких-либо уликах и доказательствах пока не идет.

Фото: Bleepingcomputer, ESET, Verge