В Group-IB рассказали о завершении основной волны вируса Bad Rabbit

undefined

Активное распространение вируса-шифровальщика Bad Rabbit, атаковавшего накануне сайты «Интерфакса», «Аргументов недели», «Фонтанки», а также киевского метрополитена, международного аэропорта Одессы и мининфраструктуры Украины, завершено. Домен, с которого раздавалась вредоносная программа, уже не отвечает, заявил ТАСС замглавы лаборатории компьютерной криминалистики компании Group-IB, специализирущейся на предотвращении киберпреступлений, Сергей Никитин.

Загрузка вредоносного ПО шла с ресурса 1dnscontrol.com, сообщается на сайте Group-IB. Его доменное имя было зарегистрировано 22 марта 2016 г. и продлевается до сих пор. «С ним связано множество других вредоносных доменов, первая активность которых относится еще к 2011 г.», - отмечают эксперты.

Ранее вирусная лаборатория Eset обнаружила связь Bad Rabbit с вирусом NotPetya. В последних атаках было использовано «вредоносное ПО Diskcoder.D - новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в кибератаке в июне 2017 г.», отмечается в сообщении компании. Эксперты выяснили, что вредоносный JS скрипт отправлял часть информации на сервер, принадлежащий компании Jetmail, которая занимается Email маркетингом. В настоящее время их сайт недоступен.

Специалисты Group-IB выяснили, что вирус распространялся с помощью веб-трафика с взломанных интернет-ресурсов. После заражения на экране компьютера появлялось поддельное окно, предлагающее установить обновление Adobe Flash плеера. В случае согласия начиналось скачивание и запуск вредоносного файла. Затем пользователь мог видеть окно с адресом сайта в сети и код, который нужно было ввести для появления биткойн-кошелька. За разблокировку компьютера злоумышленники требовали перевести 0,05 биткойна (около $283). Также на странице сайта шел отсчет времени до увеличения стоимости выкупа.

«Никаких уязвимостей вообще не было, пользователи сами запускали файл», - поясняет Никитин. По его словам, в локальной сети BadRabbit крал из памяти логины и пароли и мог самостоятельно устанавливаться на другие компьютеры. Это происходило с помощью программы Mimikatz.

Bad Rabbit стал уже третьей вирусной эпидемией за 2017 г. В мае 2017 г. вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Тогда исследователи пришли к выводу, что за атакой стоят северокорейские хакеры из Lazarus. Затем 27 июня вирус Petya (NotPetya и ExPetr) проник в 12 500 компьютеров в 65 странах. Атаку NotPetya исследователи связывали с группой BlackEnergy.

12 октября Служба безопасности Украины предупреждала о вероятности новых масштабных кибератак на государственные структуры и частные компании, подобных эпидемии NotPetya, с использованием его обновлений, отмечают эксперты Group-IB.