Autoridades Ucranianas Confiscam os Servidores de uma Empresa de Contabilidade em Conexão com o 'NotPetya' Ransomware
A empresa de software de contabilidade ucraniana MEDoc foi invadida pela polícia depois que foi descoberto que estava conectado ao malware NotPetya.
As autoridades na Ucrânia tomaram posse dos servidores de uma empresa de aplicativos de contabilidade, cujos proprietários eram suspeitos de ajudar na disseminação do Petya Ransomware, que destruiu um grande número de máquinas e redes corporativas em várias empresas de grande nome em todo o mundo na semana Antes, na terça-feira passada, um representante da polícia ucraniana disse.
O chefe da Divisão de Polícia Cibernética da Ucrânia, Serhiy Demedyuk, comentou a apreensão dos servidores da empresa MEDoc, que é a maior empresa de software de contabilidade da Ucrânia. Demedyuk disse que os servidores foram tomados como parte de uma investigação do malware NotPetya, que quase paralisou a Ucrânia há algumas semanas.
Embora o MEDoc seja amplamente desconhecido fora do campo contábil da Ucrânia, o software da empresa é usado por mais de 80% das empresas de contabilidade no país do leste europeu. São cerca de 400.000 clientes, de acordo com os pesquisadores. O aplicativo permite que seus usuários enviem e trabalhem juntos em dados financeiros entre vários departamentos e divisões e também trabalhem com o departamento tributário ucraniano.
Nesse momento, Demedyuk e a ciber-polícia ucraniana ainda estão tentando descobrir exatamente o que aconteceu e quem é o responsável. No entanto, a inteligência militar da Ucrânia (com alguma ajuda de fornecedores locais de software de segurança) descobriu que muitos dos primeiros casos do malware NotPetya foram propagados graças a uma atualização infectada lançada por ninguém menos que o MEDoc. Naturalmente, os proprietários da empresa de software de contabilidade negam. Até o momento, os proprietários da empresa ainda não estavam disponíveis para comentar.
Uma empresa chamada Premium Service, que alegava ser o distribuidor oficial dos produtos MEDoc, postou um comentário nas contas de mídia social do MEDoc dizendo que homens desconhecidos usando máscaras vasculhavam os escritórios do MEDoc e que os sistemas da empresa de software de contabilidade foram desligados.
Yulia Kvitko, porta-voz da Cyber Police da Ucrânia, explicou que a investigação ainda não havia terminado e ainda havia policiais no escritório central do MEDoc. Kvitko acrescentou que mais declarações serão divulgadas posteriormente.
As equipes de polícia cibernética da Ucrânia notificaram a empresa somente depois que especialistas em segurança cibernética descobriram provas convincentes na terça-feira passada, o que os levou a acreditar que a campanha maciça de hackers estava planejada há muito tempo, semanas ou meses. Os atacantes eram homens muito habilidosos e experientes, que, segundo a polícia, corromperam o software do MEDoc com uma vulnerabilidade única.
Os especialistas da empresa eslovaca de software de segurança ESET comentaram a situação. Seus pesquisadores afirmaram que descobriram um backdoor codificado nas atualizações de aplicativos do MEDoc, o que significa que os hackers deveriam ter o código-fonte da empresa de contabilidade. Caso contrário, os hackers provavelmente não seriam capazes de fazer isso sem serem detectados.
"Identificamos um backdoor muito furtivo e astuto que foi injetado por atacantes em um dos módulos legítimos do MEDoc. Parece muito improvável que os invasores possam fazer isso sem acessar o código-fonte do MEDoc ", observou o especialista sênior em malware da ESET Anton Cherepanov." Essa foi uma operação completamente bem planejada e executada ", acrescentou.
Os pesquisadores da ESET disseram que pelo menos três atualizações MEDoc foram infectadas com a exploração de vulnerabilidades. Segundo eles, o primeiro foi lançado em 14 de abril deste ano. A infecção permaneceu não detectada por mais de dois meses antes do ataque.
Depois que o ataque em larga escala atingiu várias empresas na Ucrânia, o governo ucraniano tomou medidas na terça-feira passada para estender os prazos fiscais estaduais do país em um mês inteiro para aliviar as empresas, que foram vítimas do malware NotPetya. No sábado passado, as agências de inteligência da Ucrânia acusaram a Rússia de ser responsável pelo hack, depois que especialistas em segurança de software o conectaram a um suspeito grupo de hackers russos, que muitos acreditam ser o responsável pela grande falta de energia em Kiev nos últimos anos.
Sem surpresa, Moscou negou as acusações.