Les opérateurs NotPetya ont consulté le serveur M.E.Doc utilisant des informations d'identification volées: Cisco


Le groupe derrière l'attaque destructive NotPetya de la semaine dernière a pu accéder au serveur de mise à jour de MEDoc et l'utiliser pour ses fins néfastes, grâce aux informations d'identification volées, a révélé Cisco.

La semaine dernière, plusieurs sociétés de sécurité ont déterminé que le serveur de mise à jour de la société de logiciels de taxation était utilisé comme vecteur d'attaque initial. Bien que M.E.Doc a nié un compromis possible à plusieurs reprises au cours des premiers jours de l'épidémie, il a finalement accepté d'autoriser un cabinet de sécurité à effectuer une analyse médico-légale du serveur.

Plus tôt cette semaine, la police de l'Ukraine a saisi les serveurs M.E.Doc censés avoir été utilisés dans l'incident, afin de prévenir toute attaque ultérieure. Les autorités locales ont suggéré que le groupe de menaces pourrait utiliser le serveur pour d'autres attaques, et non sans raison, il semble: une fausse famille de ransomware WannaCry a été distribuée dans l'ombre de NotPetya en utilisant le même vecteur.

Cisco était la société de sécurité MEDoc dotée d'un accès à son serveur et la société confirme non seulement que le serveur a été compromis, mais aussi que l'attaque était de nature destructive et Qu'un module backdoored a été poussé plusieurs fois aux clients MEDoc au cours des derniers mois.

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils