Les opérateurs NotPetya ont consulté le serveur M.E.Doc utilisant des informations d'identification volées: Cisco
Français
Le groupe derrière l'attaque destructive NotPetya de la semaine dernière a pu accéder au serveur de mise à jour de MEDoc et l'utiliser pour ses fins néfastes, grâce aux informations d'identification volées, a révélé Cisco.
La semaine dernière, plusieurs sociétés de sécurité ont déterminé que le serveur de mise à jour de la société de logiciels de taxation était utilisé comme vecteur d'attaque initial. Bien que M.E.Doc a nié un compromis possible à plusieurs reprises au cours des premiers jours de l'épidémie, il a finalement accepté d'autoriser un cabinet de sécurité à effectuer une analyse médico-légale du serveur.
Plus tôt cette semaine, la police de l'Ukraine a saisi les serveurs M.E.Doc censés avoir été utilisés dans l'incident, afin de prévenir toute attaque ultérieure. Les autorités locales ont suggéré que le groupe de menaces pourrait utiliser le serveur pour d'autres attaques, et non sans raison, il semble: une fausse famille de ransomware WannaCry a été distribuée dans l'ombre de NotPetya en utilisant le même vecteur.
Cisco était la société de sécurité MEDoc dotée d'un accès à son serveur et la société confirme non seulement que le serveur a été compromis, mais aussi que l'attaque était de nature destructive et Qu'un module backdoored a été poussé plusieurs fois aux clients MEDoc au cours des derniers mois.
Amélie Nadeau
Formation en communication et en journalisme à Montpellier. Je suis en Freelance pour plusieurs sites thématiques et agences de médias. Spécialisée dans l'actualité généraliste, je me suis spécialisée dans l'actualité médicale.