Първите доказателства за връзка между NotPetya и Industroyer са факт
Сходства в кода подсказват, че две от най-катастрофалните кибератаки в Украйна са дело на едни и същи извършители
Атаката с рансъмуера NotPetya и кибератаките срещу индустриални системи в Украйна са дело на една и съща група хакери. Това твърди компанията за киберсигурност ESET на базата на множество открити сходства в кодовете, използвани за двете атаки.
„Още когато Industroyer порази електроразпределението в Украйна се появиха спекулации, че има връзка между Industroyer и TeleBots. Но досега нямаше категорични доказателства за това“, коментира пред Welivesecurity Антон Черепанов, анализтор на ESET.
TeleBots са група хакери, която се счита за автор на атаката с NotPetya. Това е рансъмуер, който през юни 2017 г. нанесе значими поражения на организации от целия свят. Основни цели на NotPetya бяха украински банки и други организации, въпреки че рансъмуерът беше засечен и в страни като Германия, Полша, Италия, Великобритания и САЩ.
В края на 2016 г. Украйна пострада от друга мащабна кибератака. Тя беше осъществена с малуера Industroyer, създаден специално, за да таргетира индустриални системи за контрол. Атаката предизвика проблеми с електрозахранването в различни региони на Украйна. Това беше втората голяма атака срещу електроразпределителната мрежа на Украйна. Подобна атака се случи и в края на 2015 г.
Името на TeleBots беше спрягано като организатор на атаката с Industroyer, без да има категорични доказателства за това.
Сега от ESET вярват, че са открили такива. През април компанията е засякла опит на TeleBots да зарази система с бекдор, който който е подобрена версия на кода, използван за заразяване на индустриалните системи с Industroyer през 2015г. „Откритието ни показва, че TeleBots все още са активни и продължават да подобряват инструментите и тактиките, които използват“, коментира Черепаров.
Сравнение: вляво е кодът на използваният бекдор, наречен Exaramel. Вдясно е кодът, използван за активирането на Industroyer през 2015г.
NotPetya влезе в новините заради мащабa на щетите, които нанесе. Някои от засегнатите компании – като спеидиторската фирма AP Moller-Maersk – съобщиха за загуби от порядъка на стотици милиони като резултат от NotPetya.
Рансъмуерът е една от основните заплахи за бизнеса, тъй като може да доведе до значими загуби на данни и да парализира дейността на цели компании. В края на септември рансъмуер блокира част от административните дейности на пристанището в Сан Диего.
По-рано през 2018 г. рансъмуерът SamSam доведе до блокиране на работата на Колорадския департамент по транспорта. Около месец по-късно същият малуер направи невъзможно за гражданите на Атланта да си плащат задълженията към кметството.