Per chi segue la nostra pagina Facebook avrà notato il video del raid eseguito dalla polizia Ucraina negli uffici della Intellect Service, nome dell’azienda che sta dietro al software M.E.Doc.
La situazione riscontrata dagli esperti mandati in loco è di notevole gravità, infatti il TaCES di Cisco (Talos Critical Event Response System) ha evidenziato numerose criticità nei server usati per la distribuzione del software, prima tra tutti obsolete versioni dell’OpenSSH oltre a non aver aggiornato la piattaforma in uso dal lontano 2013.
Oltre a questo gli esperti Cisco hanno rilevato che il primo accesso è stato tramite le credenziali di un dipendente che ha permesso di piazzare le backdoor nel software MEDoc e nel codice web PHP del server.
Inoltre, sono state rilasciate tre diverse versioni con tre rispettive backdoor le quali sono state usate per diffondere il ransom XData (la seconda) e il NotPetya (la terza). La backdoor è stata camuffata dietro un file DLL chiamato che dietro a questi attacchi possa esserci un gruppo di cyber-spionaggio chiamato Telebots.
Il “bello” della questione è che il gruppo Telebots ha impostato che il malware non comunichi con alcun server C&C bensì che dialoghi direttamente con il server Intellinet, usato quindi con funzioni C&C all’indirizzo
