[uanog] New virus attack

Vladimir Sharun vladimir.sharun at ukr.net
Thu Jul 6 11:01:25 EEST 2017 

Привет, 



Я делал всё что мог на основании информации, которую мне давали. Выводы 
были сделаны правильные: скачивать Медок нельзя, т.к. источник payload'а не выявлен 
и может находиться на сети, а не прямо на серверах. Также я оказался прав про перехват 
ip, только это не на L2/L3 было, а на L7 - запросы проксировались. 


Из этических соображений я не могу делиться информацией в большем объёме, 
надеюсь что все поступили бы так же в моем положении.  




6 липня 2017, 10:36:20, від "Mike Petrusha" < mp at disan.net >: 


Hi,

> Я имел возможность общаться с технической верхушкой компании на прошлой
> неделе и на этой и могу сказать что изъятие серверов и полная остановка
> деятельности Интеллект Сервиса - это лучшее на текущем моменте.

Т.е. на прошлой недели от верхушки был "инсайд", что у них ничего нет,
и это везде каталисты поломали и "о-ла-ла", а теперь, оказывается,
хорошо, что их "спасли от взбесившейся шубы в шкафу у Мюнхаузена". Вот
прямо стояли у них сервера и рассылали вирусы, и они ничего не могли с
этим поделать. Полиция спасла, фух.

Учитывая детали реализации, трудно представить, что делалось это
кем-то извне, а не одним из текущих сотрудников.

Учитывая реакцию "верхушки" и осведомлённость поддержки про "отключите
антивирус", велика вероятность, что сотрудник был не один, и все обо
всём знали.

Но возможно, что что-то пошло не так. Backdoor был давно и через него
можно было делать что угодно с серверами интересующих целей (на основе
идентификации по тем же EDRPOU). И зашифровать, возможно, тоже
собирались кого-то конкретного. И могли в этом промахнуться - не то
условие в if, не та версия update-сервера, и т.п. В результате
засветили всю схему.

А раз полиция вовремя не пришла - возможно тоже понимали изначально, в
чём причина.

"А может быть, всё было наоборот?" (C) мультик

--
Mike
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170706/9c3e5f82/attachment-0001.html>

More information about the uanog mailing list