4 липня в Україні мав відбутися другий етап кібератаки вірусу Petya.А. Однак ще до цього Кіберполіція заблокувала розсилку та активацію вірусу. Пік атаки планувався на 16 годину. Про це повідомив міністр внутрішніх справ Арсен Аваков на своїй сторінці у Facebook.
За словами міністра, на серверах, звідки відбувалась розсилка, є сліди впливу кіберзлочинців з очевидними джерелами з Російської Федерації. Перша кібератака, яка сталася 27 червня та вразила значну кількість комп’ютерів у державних та комерційних структурах, відбулась через оновлення бухгалтерського програмного забезпечення, призначеного для звітності та документообігу «M.E.Doc».
За наявними даними, підтвердженими правоохоронцями інших держав та міжнародними компаніями, які працюють у сфері кібербезпеки, зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника програми «M.E.Doc» — ТОВ «Інтелект-Сервіс». Отримавши доступ до вихідних кодів, вони вбудували в одне з оновлень програми бекдор (backdoor) — програмний модуль, який встановлював на комп’ютерах користувачів «M.E.Doc» несанкціонований віддалений доступ. Таке оновлення програмного забезпечення, ймовірно, відбулося ще 15 травня 2017 року, — повідомив міністр.
«Разом з тим з’ясовано, що виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній, та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів», — зазначив Арсен Аваков.
Таким чином, кібератака 27 червня мала приховати сліди вдалої кібероперації щодо масового враження комп’ютерів та несанкціонованого збору з них інформації
Видалення та шифрування файлів операційних систем було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору), та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих. Слідством опрацьовується версія, що справжніми цілями були стратегічно важливі для держави компанії, атаки на які могли дестабілізувати ситуацію в країні, — наголосив очільник МВС.
Задля зупинення розповсюдження вірусу прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії, за допомогою якого розповсюджувалося шпигунське програмне забезпечення.