La polizia ucraina ha sequestrato i server della Intellect Service, considerata responsabile della diffusione del ransomware
A pochi giorni dalla scoperta di NotPetya (o Petya 2.0), le forze dell’ordine dell’Ucraina hanno sequestrato i server della compagnia Intellect Service, considerata la responsabile per la diffusione del ransomware su scala globale. Il capo della divisione cyber della polizia ha confermato la misura di sicurezza, giunta dopo alcune indagini che hanno portato ad analizzare il software di contabilità M.E.Doc, quello da cui sarebbe partito il contagio. Il programma in questione appartiene alla ME Doc ma lo sviluppo è nelle mani della Intellect Service, che pare abbia incluso nel codice una backdoor di emergenza, la stessa che avrebbe consentito alla minaccia di espandersi così rapidamente. Durante i controlli, un dipendente ha postato un Facebook l’arrivo della polizia e il seguente sequestro dei server.
Cosa succede
Resta da capire come e perché sia stato utilizzato M.E.Doc come sorgente primaria dell’infezione. Secondo le forze dell’ordine: “Una volta ottenuto l’accesso al codice, gli hacker hanno sfruttato la backdoor insediandosi in uno degli update del programma, così da avere una via preferenziale di intrusione sui computer”. Di che hacker stiamo parlando? Mossi da uno stato? Hacktivisti? Terroristi o lupi solitari? Non è chiaro, quello che si sa al momento è che il ransomware che ha messo in ginocchio un numero più alto ed esteso di computer rispetto a WannaCry è partito da un semplice software di contabilità. Abbiamo anche la data della prima infezione: 15 maggio 2017, poco più di un mese prima del 27 giugno, quando NotPetya ha messo fuori uso i computer governativi ucraini e quelli in giro per il mondo. Anche se la connessione tra ME Doc e i criminali informatici non è stata appurata, la compagnia potrebbe comunque rispondere penalmente di quanto accaduto, se non altro per la negligenza nell’aver ignorato, volutamente o meno, la presenza della backdoor e delle sue conseguenze.
