Глава киберполиции Украины Сергей Демедюк в комментарии агентству Reuters сказал, что за атакой вируса-шифровальщика BadRabbit, от которой 24 октября пострадали системы некоторых предприятий, кроется более серьезная попытка взлома. «Есть открытая, очевидная атака, под прикрытием которой происходит скрытая, хорошо продуманная другая, на которую никто не обращает внимания. Главная гипотеза, над которой мы сейчас работаем, состоит в том, что злоумышленники, стоящие за этими атаками, были одними и теми же. Целью было получение удаленного и не обнаруженного доступа.»
По словам киберполицейского, скрытая атака была направлена на пользователей программ разработки компании «1С», которые получали фишинговые письма (т.е. сообщения, с помощью которых злоумышленники пытаются выудить у пользователя логины, пароли и другую конфиденциальную информацию) якобы от разработчика. В них говорилось, что «в связи с возрастающим количеством атак на программный продукт «1C Enterprise», предлагаем бесплатно получить обновление, позволяющее закрыть найденные бреши и повысить защищенность продукта». Архив с таким «обновлением» размещался на одном из сайтов, который теперь заблокирован.
Департаменту киберполиции стало известно об атаке после того, как полтора десятка компаний сообщили им о взломе. Общее же количество жертв, учитывая распространенность продуктов «1С», наверняка больше.
Кроме того, С. Демедюк сообщил, что властям с июня удалось предотвратить пять крупных атак на финансовые учреждения и стратегическую инфраструктуру. Во время одной из них полиции удалось заблокировать перевод 10 млн грн со счета компании. В этих атаках злоумышленники использовали бэкдоры (т.е. «черные ходы» в IT-системах), установленные во время июньской атаки.