Распечатать Неизвестный, представившийся от имени создателей вирусов Petya, разместил объявление, где объявил о продаже за 100 биткоинов ключа, который поможет разблокировать зашифрованные вирусом файлы. «Переведите мне 100 биткоинов, и вы получите мой индивидуальный ключ для расшифровки любого жесткого диска (кроме загрузочных дисков)», — говорится в объявлении. Издание Motherboard связалось с разместившим объявление в даркнете и отправило ему пробный файл на расшифровку, однако на момент публикации новости не получило ответа. Хакер объяснил высокую стоимость ключа тем, что он подойдет для «расшифровки любых компьютеров». Ответственные за распространение вируса Petya хакеры смогли вывести почти четыре биткоина (около $10 тыс.) со счета, на который жертвы отправляли выкуп. За несколько минут до перевода злоумышленники отправили небольшую сумму на счета сервисов Pastebin и DeepPaste, которые используются для публикации текстов. Эксперты антивирусной компании ESET считают, что вирус Petya, использовавшийся для масштабной кибератаки в июне, может принадлежать группе TeleBots. В ходе исследования было выявлено сходство между несколькими кампаниями этой киберпреступной группы, которая в последнее время организовывает атаки на компьютерные системы объектов критической инфраструктуры Украины. Так, в декабре 2016 г. TeleBots осуществила ряд кибератак, жертвами которых стали цели особого значения. Тогда главной задачей хакеров было планомерное осуществление диверсий в украинском киберпространстве. Во время первой волны атак киберпреступники использовали вредоносное программное обеспечение KillDisk, которое просто перезаписывало определенные файлы и демонстрировало изображения с телевизионного сериала «Мистер Робот» (Mr. Robot). Для осуществления инфицирования угроза использовала бэкдор Python/TeleBot, в честь которого киберпреступная группа и получила название Telebots. Во время второй волны атак авторы KillDisk добавили шифрования и контактную информацию во вредоносное программное обеспечение для сходства с типичной атакой программы-вымогателя. Однако киберпреступники не были заинтересованы в финансовом вознаграждении, их истинная цель заключалась в причинении вреда компаниям, которые были атакованы. В 2017 г. атаки преступной группы TeleBots стали более изощренными. За период с января по март TeleBots атаковала программное обеспечение (не связанное с M.E. Doc) и, используя туннели VPN, получила доступ к внутренним сетям нескольких финансовых учреждений. Во время этой атаки группа TeleBots расширила свой арсенал обновленными инструментами и двумя бэкдорами, что позволило ей распространять программу-вымогателя Win32/Filecoder.NKH для осуществления шифрования файлов (кроме файлов, расположенных в каталоге C:\Windows). В дополнение к вредоносных программ для Windows, группа TeleBots использовала также программу-вымогатель Python/Filecoder.R для атаки на серверы Linux. В мае 2017 г. специалисты ESET заметили активность другого семейства вредоносных программ, известного как Win32/Filecoder.AESNI.C (или XData). В большинстве случаев этот вымогатель распространялся в Украине, поскольку именно она была начальным вектором атаки. Согласно телеметрии сервиса LiveGrid, данная угроза активировалась сразу после обновления программного обеспечения M.E.Doc. Для распространения программа-вымогатель использовала механизм, который позволял действовать автоматически в инфицированной среде. Однако сложилось впечатление, что во время этой атаки преступники так и не достигли финальной цели или они готовились к другой атаки. В частности, злоумышленники разместили основные ключи дешифрования на форуме, что позволило создать инструмент для расшифровки файлов жертв программы-вымогателя. А уже 27 июня 2017 г. украинских пользователей массово атаковала новая программа-вымогатель — Diskcoder.C. Данная вредоносная программа имеет возможность шифровать основной загрузочный сектор (MBR) с помощью кода, который был позаимствован у подобного шифровальщика Win32/Diskcoder.Petya. Вот почему некоторые исследователи могут относить эту угрозу к ExPetr / PetrWrap / Petya / NotPetya. Однако, в отличие от оригинального шифровальщика Petya, авторы Diskcoder.C меняют MBR-код таким образом, чтобы восстановление было невозможным. В частности, злоумышленники не смогут предоставить ключ для дешифровки и он не сможет быть набран на экране жертвы, поскольку сгенерированный ключ содержит недопустимые символы. Почему случаи инфицирования встречаются не только в Украине? Исследование показало, что пострадавшие компании в других странах имеют VPN-связи с их филиалами в Украине или деловыми партнерами. Таким образом, группа TeleBots продолжает осуществлять разрушительные кибератаки в Украине. Кроме фишинговых электронных писем с документами с вредными макросами, злоумышленники начали использовали более сложную схему — атаку на цепь поставки. Сначала главной целью хакеров был только финансовый сектор в Украине, но последние атаки уже нацелены на бизнес-среду страны, и, вероятно, с ненадлежащим образом оцененными возможностями распространения угрозы. Именно поэтому вредоносное программное обеспечение вышло из-под контроля. Достоверно определить, кто стоит за деятельностью этой группировки, в настоящее время не представляется возможным.

Источник