Напомню, что внимание ИБ-исследователей и правоохранительных органов к M.E.Doc привлекла эпидемия малвари Petya (также известной под названиями NotPetya, SortaPetya, Petna, Nyetya, ExPetr и так далее), начавшаяся 27 июня 2017 года. Вскоре после начала атак многие специалисты связали распространение Petya с программным обеспечением M.E.Doc: такие предположения высказали сотрудники украинской киберполиции, а также аналитики Cisco Talos, Microsoft и "Лаборатории Касперского".
Как уже было сказано выше, больше недели разработчики M.E.Doc категорически отрицали все обвинения специалистов. Признаться в том, что обновления M.E.Doc действительно распространяли малварь, разработчиков вынудило только изъятие серверов компании и заявление главы украинской киберполиции Сергея Демидюка, который сообщил, что из-за проявленной халатности разработчикам может грозить уголовная ответственность. Ранее мы уже подробно рассказывали обо всех деталях этой запутанной истории.
Теперь специалисты Cisco, на месте изучили серверы M.E.Doc и представили новый отчет, согласно которому разработчики новой версии Petya проникли в сеть "Интеллект-Сервис" еще весной 2017 года, используя для этого учетные данные одного из сотрудников компании. Именно так, по мнению специалистов, в обновления M.E.Doc был внедрен бэкдор, а на веб-сервере компании появился PHP webshell.