Київський метрополітен атакувала нова версія відомої програми-вимагача Diskcoder

Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про те, що декілька транспортних та урядових організацій в Україні зазнали кібератаки, у результаті якої дані на комп'ютерах були зашифровані. Публічні джерела підтвердили, що серед постраждалих організацій виявлено комп'ютерні системи Київського метрополітену, Одеського аеропорту, а також ряду російських організацій.

Спеціалісти ESET виявили, що для кібератаки на київський метрополітен було використано шкідливе програмне забезпечення Diskcoder.D – нова версія програми-вимагача, яка також відома як Petya. Попередня версія Diskcoder була використана під час руйнівної кібератаки глобального масштабу в червні 2017 року.

Повідмлення з вимогою викупу на екрані інфікованого комп'ютера


Відповідно до телеметрії ESET, сотні зразків Diskcoder.D, більшість з яких зафіксовано в Україні та Росії. Однак, також виявлено інфіковані комп'ютери в Туреччині, Болгарії та інших країнах.

Дослідники ESET працюють над комплексним аналізом шкідливого програмного забезпечення Diskcoder.D. За попередніми висновками, Diskcoder.D використовує утиліту Mimikatz для перехоплення облікових даних з інфікованих систем. Крім цього, шкідлива програма також має жорстко закодований список облікових даних.

Спеціалісти ESET продовжують аналізувати загрозу та повідомлять, як тільки з’ясують нові подробиці.

IoCs:

afeee8b4acff87bc469a6f0364a81ae5d60a2add
de5c8d858e6e41da715dca1c019df0bfb92d32c0 (install_flash_player.exe)
hxxp://1dnscontrol.com/flash_install.php

Звертаємо Вашу увагу! Актуальні рекомендації спеціалістів ESET завжди доступні у документі «ESET_Recommendations_2017.pdf». Будь ласка, слідкуйте за оновленнями!

У разі виявлення ознак інфікування або виникнення запитань, будь ласка, напишіть запит до служби технічної підтримки ESET в Україні на електронну адресу support@eset.ua, вказавши контактний номер телефону та ім'я відповідальної особи для зворотнього зв'язку.