Nieuws
image

Oekraïens softwarebedrijf ontkent verspreiding Petya-ransomware

dinsdag 4 juli 2017, 09:43 door Redactie, 12 reacties

De Petya-ransomware die vorige week dinsdag allerlei organisaties infecteerde heeft zich niet verspreid via de boekhoud- en belastingsoftware M.E.Doc, zo laat de directeur van het Oekraïense softwarebedrijf weten dat het kantoorprogramma ontwikkelde. Microsoft liet eerder weten dat aanvallers de updateservers van M.E.Doc hadden gebruikt om een kwaadaardige update onder gebruikers te verspreiden die de ransomware installeerde.

M.E.Doc heeft 400.000 klanten die de software onder andere gebruiken voor het doen van belastingaangifte in Oekraïne. Zo'n 80 procent van alle bedrijven in het land maakt gebruik van het programma. "We hebben ons product op tekenen van hacking gecontroleerd. Het is niet besmet met een virus en alles is in orde. Het is veilig", zegt Olesya Linnik van Intellect Service, het bedrijf dat M.E.Doc ontwikkelde, tegenover persbureau Reuters.

Volgens Linnik is de update, die voor de uitbraak van de ransomware werd verstuurd, uitgebreid gecontroleerd en is er niets gevonden. "De cyberpolitie is vastgelopen in het onderzoek. We hebben de logbestanden van al onze servers gegeven en er zijn geen sporen dat onze servers het virus hebben verspreid", stelt Linnik. Ze voegt toe dat M.E.Doc alleen een programma is dat documenten aanlevert. "Maar is een e-mailprogramma verantwoordelijk voor de verspreiding van een virus? Nauwelijks."

Reacties (12)
04-07-2017, 10:06 door Anoniem
Wederom doet zich het volgende schouwspel voor.

Iemand veroorzaakt veel schade. Dan komen er al snel een paar spelers op het toneel die een wedstrijdje doen wie het hardst kan schreeuwen wie de dader is. Ergens op de achtergrond zie je de slachtoffers blijven ploeteren om de schade te beperken en verhelpen. Na de scène van de schreeuwers volgt een welles niettes scène tussen de gevestigde partijen die makkelijk doelwit van discussie zijn. Tussen de scènes door is de echte dader er ondertussen van door en nauwelijks serieus onderwerp van beschuldiging.
04-07-2017, 12:02 door Anoniem
Zie je maar weer dat .UA helemaal niet klaar is voor .EU lidmaatschap.
04-07-2017, 12:45 door [Account Verwijderd]
[Verwijderd]
04-07-2017, 14:25 door MathFox
Door Neb Poorten: Hmmja: https://www.security.nl/posting/522677/Backdoor+in+Oekra%C3%AFense+boekhoudsoftware+M_E_Doc+gevonden
Nooit gehoord van de mogelijkheid om IP verkeer te rerouten (BGP aanval) en daarna een MITM aanval uit te voeren?
04-07-2017, 15:51 door Anoniem
Theoretisch is het mogelijk dat het IP adres van de update server van MEDOC gekaapt is door de CIA/NSA, dat ZIJ een besmette update hebben geactiveerd aan de doelwitten die de NSA wilde bereiken.

Voor iedereen lijkt het dan dat MEDOC dom is en virussen verspreidt en gehacked is... maar dat hoeft dus niet.

Vooralsnog zijn het voornamelijk bedrijven en organisaties met een duidelijk eigen agenda die gehoord worden...
En nieuws van een zijde is geen nieuws maar propaganda of FUD.
04-07-2017, 19:31 door Anoniem
Door Anoniem: Theoretisch is het mogelijk dat het IP adres van de update server van MEDOC gekaapt is door de CIA/NSA, dat ZIJ een besmette update hebben geactiveerd aan de doelwitten die de NSA wilde bereiken.

Voor iedereen lijkt het dan dat MEDOC dom is en virussen verspreidt en gehacked is... maar dat hoeft dus niet.

Vooralsnog zijn het voornamelijk bedrijven en organisaties met een duidelijk eigen agenda die gehoord worden...
En nieuws van een zijde is geen nieuws maar propaganda of FUD.

Zoiets, zie ook de link van Neb poorten hierboven. Er zit kennelijk lucht tussen de broncode bij MEDOC en de bestanden die gebruikt zijn voor de update. Tijd om het updateproces bit voor bit uit te vlooien.
04-07-2017, 20:34 door [Account Verwijderd]
[Verwijderd]
04-07-2017, 20:44 door Anoniem
Door Neb Poorten:
Door MathFox:
Door Neb Poorten: Hmmja: https://www.security.nl/posting/522677/Backdoor+in+Oekra%C3%AFense+boekhoudsoftware+M_E_Doc+gevonden
Nooit gehoord van de mogelijkheid om IP verkeer te rerouten (BGP aanval) en daarna een MITM aanval uit te voeren?

Volgens mij zou je in dit specifieke geval alle edge routers van al die verschillende M.E.Doc klanten die de update server benaderen moeten hacken daarvoor. Het is hier geen kwestie van de edge router van het M.E.Doc netwerk hacken. Maar ik kan het verkeerd hebben hoor...

Dat heb je inderdaad verkeerd. Wat je er allemaal voor moet hacken hangt af van hoe goed de ISP's in de
buurt hun zaakjes voor elkaar hebben, maar bij die klanten hoef je in ieder geval niks te doen. Je hoeft "alleen maar"
in een willekeurige router bij een AS wat daar in de buurt vertrouwd wordt een subnet van het netwerk waar M.E.Doc
normaal gesproken deel van uitmaakt te configureren, en hoppa al het verkeer voor dat subnet komt jouw kant op.
Normaal is dat niet zo simpel omdat dit wel gechecked en gemonitord wordt, maar wellicht heeft men dat daar in
Oekraine niet zo goed ingeregeld. Wel is hier later wel bewijs van te vinden omdat op veel plekken dit soort acties
wel gelogd worden.

Echter, Occam's razor blijft wel gelden. Als je heel veel "als nou dit en als nou dat" veronderstellingen moet doen dan
heb je meestal niet de juiste theorie. Het is veel logischer om er vanuit te gaan dat de fout wel bij het bedrijf zit.
Dat men "niks kan vinden" wil niet zeggen dat er niks is. Zeker niet als ESET dan later wel wat blijkt te vinden.
04-07-2017, 20:56 door [Account Verwijderd] - Bijgewerkt: 04-07-2017, 20:58
[Verwijderd]
05-07-2017, 08:08 door ThinxNL
Intellect Service probeert zich met handen en voeten in te dekken voor de claims die gaan volgen en zo het softwarebedrijf de nek om gaan draaien. Een prachtige en voor de hand liggende reactie :-)
05-07-2017, 10:43 door [Account Verwijderd]
[Verwijderd]
05-07-2017, 23:37 door Anoniem
Drie mogelijkheden en een niet zo aannemelijke.

1. NSA of CIA
2. Rusland
3. Oekraïne
4. Andere schuldige(n).

Ga maar pim-pam-petten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure