In het kader van het ransomware-onderzoek nam de politie in Oekraïne de servers van de populaire boekhoudsoftware MEDoc in beslag. Het beveiligingsbedrijf ESET heeft immers een backdoor gevonden in de applicatie.

Advertentie

 
De Oekraïense politie heeft de servers in beslag genomen van het softwarebedrijf Intellect Systems dat de ransomware NotPetya verspreidde, zo meldt Reuters. De hackers vergrepen zich aan de boekhoudsoftware MEDoc aldus beveiligingsbedrijf ESET, waardoor het cyberparasiet een hoop slachtoffers maakte in Oekraïne. Veel bedrijven gebruikten deze applicatie om hun belastingen in te dienen.

Achterpoortje

Volgens het hoofd van de Oekraïense cyberpolitie zijn de servers in beslag genomen in het kader van een onderzoek naar de malware. Eerder ontkende Intellect Systems iets te maken te hebben met de verspreiding, maar volgens een Britse beveiligingsexpert werd het automatische updatesysteem van MEDoc gecompromitteerd. Daardoor werden geen updates, maar malware gedownload.
 
Het Slowaakse beveiligingsbedrijf ESET bevestigt dit: er zijn inderdaad updates aangetroffen met backdoors. “We hebben een achterpoortje gevonden die door de agressors in de modules werd geïnjecteerd”, aldus hoofdonderzoeker Anton Cherepanov. “Uit verder onderzoek moet blijken hoe deze zijn aangebracht, maar dit kan waarschijnlijk niet zonder toegang tot de broncode van de software.”

Binary blob

Vermoedelijk hadden de aanvallers controle over de server. Op die manier konden ze onderscheid maken tussen normaal verkeer en het verkeer van geïnfecteerde systemen. Volgens ESET werd de backdoor niet alleen gebruikt voor het verzamelen van informatie, zoals registratienummers van Oekraïense bedrijven, gebruikersnamen en wachtwoorden. Hackers konden dankzij het achterpoortje ook een binary blob ontvangen, waarna ze bijvoorbeeld een bestand of commando kunnen uitvoeren. Waarschijnlijk konden ze op die manier de ransomware NotPetya verspreiden.

Advertentie

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here