Компания ESET — лидер в области проактивного обнаружения — сообщает о том, что несколько транспортных и правительственных организаций в Украине подверглись кибератаке, в результате которой данные на компьютерах были зашифрованы. Публичные источники подтвердили, что среди пострадавших организаций выявлены компьютерные системы Киевского метрополитена, Одесского аэропорта, а также ряда российских организаций.
Специалисты ESET обнаружили, что для кибератаки на киевский метрополитен было использовано вредоносное программное обеспечение Diskcoder.D – новая версия программы-вымогателя, которая также известна как Petya. Предыдущая версия Diskcoder была использована во время разрушительной кибератакиглобального масштаба в июне 2017 года.
Сообщение с требованием выкупа на экране инфицированного компьютера
Согласно телеметрии ESET, были обнаружены сотни образцов Diskcoder.D, большинство из которых зафиксировано в Украине и в России. Однако, также были выявлены зараженные компьютеры в Турции, Болгарии и других странах.
Исследователи ESET работают над комплексным анализом вредоносного программного обеспечения Diskcoder.D. По предварительным выводам, Diskcoder.D использует утилиту Mimikatz для перехвата учетных данных с зараженных систем. Кроме этого, вредоносная программа также имеет жестко закодированный список учетных данных.
Специалисты ESET продолжают анализировать угрозу и сообщат, как только выяснят новые подробности.
IoCs:
afeee8b4acff87bc469a6f0364a81ae5d60a2add
de5c8d858e6e41da715dca1c019df0bfb92d32c0 (install_flash_player.exe)
hxxp://1dnscontrol.com/flash_install.php
Обращаем Ваше внимание! Актуальные рекомендации специалистов ESET всегда доступны в документе «ESET_Recommendations_2017.pdf». Пожалуйста, следите за обновлениями!
В случае выявления признаков заражения или возникновения вопросов, пожалуйста, отправьте запрос в службу технической поддержки ESET в Украине по электронному адресу support@eset.ua, указав контактный номер телефона и имя ответственного лица для обратной связи.