Зловред NotPetya, который изначально считался еще одним шифровальщиком вроде WannaCry, на деле оказался вайпером под маской вымогателя – и это самый серьезный сдвиг в тактике вредоносов за последнее время.

Жертвами эпидемии стали тысячи компаний во всем мире, включая некоторых крупнейших производителей, поставщиков критической инфраструктуры и финансовые организации.

Merck, одна из крупнейших фармацевтических компаний в мире, на прошлой неделе в своем ежеквартальном отчете о доходах констатировала, что еще не полностью оправилась от атаки 27 июня. Последствия атаки NotPetya повлияли на производство, исследования и продажи во всем мире и до сих пор продолжают влиять на операционную деятельность компании. К примеру, производственные процессы налажены еще не в полной мере. Фасовка продукции восстановлена и запущена, но вот разработку рецептов удалось возобновить лишь частично.

Вероятно, самый большой удар пришелся на ту часть компании, которая занята производством активных фармацевтических ингредиентов — действующих веществ в составе лекарства.

Merck, среди прочего, производит такие препараты, как Keytruda – лекарство от рака, препарат от диабета Januvia и комбинированный противовирусный препарат против гепатита C Zepatier. Согласно комментариям в ежеквартальном отчете, Merck продолжит бесперебойную поставку этих препаратов, но возможны временные задержки поставок других лекарств в определенных регионах.

«Пока компания еще не определила весь масштаб заражения NotPetya, которое находит отражение в нарушении некоторых процессов операционной деятельности, но Merck продолжает пытаться минимизировать негативное воздействие», – заявляют представители компании.

Фармацевтический гигант стал одной из первых компаний, которые публично сообщили о влиянии NotPetya на операционную деятельность и финансовые показатели.

Жертвами NotPetya в основном стали компании из Украины и России. Предполагается, что первоначальным вектором заражения была эксплуатация уязвимости в украинском пакете финансовых программ MeDoc, но в первые же часы заражения появились другие каналы распространения, в том числе зловред раздавался через веб-сайт администрации украинского города Бахмут. В Microsoft заявили, что имеется четкая связь между MeDoc и распространением NotPetya, но сотрудники MeDoc это отрицают.

У NotPetya было немало признаков, характерных для WannaCry, который месяцем ранее поразил многие компании в мире, распространяясь с помощью эксплойта EternalBlue. Но вскоре стало ясно, что это не шифровальщик, так как код внутри вредоноса не позволяет восстановить зашифрованные файлы, а платежная функциональность реализована с ошибками. В итоге было установлено, что настоящей миссией NotPetya, который, к слову, по сложности значительно превосходит WannaCry, было стирание информации.

Анализ атаки, проведенный Microsoft, указывает на то, что NotPetya устанавливает модуль для кражи учетных данных на уязвимых компьютерах, который ищет рабочую пару логин-пароль, а найдя ее, начинает сканирование подсетей в поисках открытых соединений по 445-му порту. Как только получится установить соединение, он пытается выполнить вредоносный код, уничтожающий файлы, используя инструменты Windows PSEXEC или WMIC.

Эпидемия NotPetya стала серьезным ударом по компании Merck, которая была вынуждена скорректировать свои прогнозы на оставшуюся часть года из-за сбоев, вызванных NotPetya. На прошлой неделе Financial Times сообщила, что финансовый директор Merck Роберт Дэвис сокрушался о прогнозе роста фармацевтического гиганта, который был бы выше, если бы не атака.

Категории: Вредоносные программы