Home SicurezzaCryptolocker M.E.Doc non aggiornava i propri server dal 2013: la situazione

M.E.Doc non aggiornava i propri server dal 2013: la situazione

da Alvise C.
Pubblicato: Aggiornato il: 0 commenti 5 minutes Leggi
A+A-
Reset
Per chi segue la nostra pagina Facebook avrà notato il video del raid eseguito dalla polizia Ucraina negli uffici della Intellect Service, nome dell’azienda che sta dietro al software M.E.Doc.

 
La situazione riscontrata dagli esperti mandati in loco è di notevole gravità, infatti il TaCES di Cisco (Talos Critical Event Response System)  ha evidenziato numerose criticità nei server usati per la distribuzione del software, prima tra tutti obsolete versioni dell’OpenSSH oltre a non aver aggiornato la piattaforma in uso dal lontano 2013. 
 
Oltre a questo gli esperti Cisco hanno rilevato che il primo accesso è stato tramite le credenziali di un dipendente che ha permesso di piazzare le backdoor nel software MEDoc e nel codice web PHP del server. 
 
Inoltre, sono state rilasciate tre diverse versioni con tre rispettive backdoor le quali sono state usate per diffondere il ransom XData (la seconda) e il NotPetya (la terza). La backdoor è stata camuffata dietro un file DLL chiamato ZvitPublishedObjects.dll: questo è stato prontamente analizzato da Eset, che aggiunge la possibilità che dietro a questi attacchi possa esserci un gruppo di cyber-spionaggio chiamato Telebots. 
 
Il “bello” della questione è che il gruppo Telebots ha impostato che il malware non comunichi con alcun server C&C bensì che dialoghi direttamente con il server Intellinet, usato quindi con funzioni C&C all’indirizzo upd.me-doc.com[.]ua
 
Di seguito un infografica fornita da Cisco che spiega il comportamento intrapreso dal ransom:


MEDoc timeline attacks
 
Sembra che l’intervento della polizia abbia fermato un altra ondata di attacchi eseguiti con NotPetya, il problema ora rimane il fatto che moltissime aziende in Ucraina usano questo software per la gestione finanziaria, cosa che ha spinto alcune aziende ad usare una versione del file reperita da fonti NON ufficiali come Dropbox o GDrive, cosa che può però esporre gli utenti ad ulteriori infezioni. 
 
Di seguito il video del raid:
 
 
 
Vedremo come si evolverà la situazione. Aggiorneremo l’articolo in caso di eventuali novità. Ricordatevi di seguire la nostra pagina Facebook per ricevere novità dal mondo della sicurezza!

Via: Cisco’s Talos Intelligence Group Blog: The MeDoc Connection

Non perdere questi contenuti:

Lascia un commento

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.