Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben in updates van de Oekraïense belasting- en boekhoudsoftware M.E.Doc een backdoor gevonden die aanvallers hebben toegevoegd en gebruikt om de XData- en Petya-ransomware onder gebruikers van de kantoorsoftware te verspreiden.
Op 14 april, 15 mei en 22 juni verschenen er updates voor M.E.Doc waar aanvallers een module met de backdoor aan hadden toegevoegd. Het verschijnen van de updates valt samen met twee incidenten. Zo raakten op 18 mei systemen in voornamelijk Oekraïne besmet met de XData-ransomware en vond op 27 juni de uitbraak van de Petya-ransomware plaats. Hoewel M.E.Doc 400.000 klanten heeft infecteerde de XData-ransomware iets meer dan honderd systemen. De onderzoekers denken dat dit komt omdat op 17 mei een update verscheen die de backdoor niet bevatte.
Mogelijk kan dit het kleine aantal infecties verklaren, omdat de meeste gebruikers met de backdoor inmiddels de update van 17 mei hadden ontvangen waarin de backdoor niet aanwezig was. Deze update kwam volgens de onderzoekers als een verrassing voor de aanvallers, die op 18 mei besloten de XData-ransomware te verspreiden. Op 22 juni werd er weer een update verspreid met de backdoor, die vijf dagen later tot de uitbraak van Petya-ransomware leidde. De onderzoekers gaan ervan uit dat de aanvallers toegang tot de broncode van M.E.Doc hadden om de backdoor te ontwikkelen.
"Zoals ons onderzoek laat zien is dit een zeer goed geplande en uitgevoerde operatie", aldus onderzoeker Anton Cherepanov. "Ze hadden de tijd om de code te leren kennen en een zeer sluwe en vernuftige backdoor toe te voegen." Het is echter onbekend hoe lang de backdoor in gebruik is geweest en welke malware er op deze manier is verspreid. Cherepanov stelt dat ESET niet heeft kunnen controleren of er nog andere backdoors in de software aanwezig zijn. Het softwarebedrijf dat M.E.Doc ontwikkelde ontkent dat de software is gebruikt voor de verspreiding van de Petya-ransomware, ook al stelde Microsoft eerder al dat dit wel het geval is geweest.
Deze posting is gelocked. Reageren is niet meer mogelijk.