Jego źródłem najprawdopodobniej było oprogramowanie do rozliczania podatków o nazwie MeDoc, szeroko wykorzystywane przez firmy działające na Ukrainie. Ataki potwierdzono także w innych krajach, m.in. Francji, Danii, Hiszpanii, Wielkiej Brytanii, Rosji i USA.
Wstępna analiza przeprowadzona przez organizację badawczą Cisco Talos wykazała, że atak – nazwany przez Talos NYETYA – zaczął się na Ukrainie. Wirus komputerowy zaatakował system bankowy i telekomunikacyjny Ukrainy. Są poważne utrudnienia w pracy największego lotniska w kraju, metra w Kijowie oraz zakładów energetycznych i ciepłowniczych. Zainfekowana jest poczta, stacje TV, sieci komórkowe oraz sklepy. Nie działają niektóre bankomaty. Problemy mają też Koleje Ukraińskie oraz prywatna firma kurierska Nowa Poczta. Pierwszy o sytuacji poinformował Narodowy Bank Ukrainy. Z kolei wicepremier Pawło Rozenko podał na Twitterze, że on i jego współpracownicy nie mogą korzystać z rządowych komputerów. Ataków dokonano spoza granic kraju i miały one masowy charakter – donoszą ukraińskie media.
Ransomware wykorzystany w tym ataku po zainfekowaniu systemu wykorzystuje 3 sposoby, aby automatycznie rozprzestrzeniać się po sieci. Jednym z tych sposobów jest znana podatność Eternal Blue, podobnie jak miało to miejsce w przypadku ataku WannaCry z maja 2017 roku. Wczoraj donoszono, że za atak odpowiedzialny był rosyjski wirus Petya.A, który blokuje cały dysk i jest wykorzystywany przez hakerów właśnie do wyłudzania okupu (ransom).
To, co widać wyraźnie obserwując skutki tego i innych ostatnich ataków, to konieczność priorytetyzacji przez organizacje aktualizacji łatek systemowych w celu minimalizacji ryzyka, najszybciej, jak to możliwe. Ponadto, back-up kluczowych danych powinien być podstawą każdego programu bezpieczeństwa w firmach.
Cisco Talos będzie na bieżąco aktualizował swojego bloga o najnowsze ustalenia dotyczące tego ataku.
