Хакеры запустили новую версию шифровальщиков в пяти странах, на Россию пришлось 65% атак. Троян Bad Rabbit прячется от антивирусов под оболочкой продуктов Symantec и активируется после установки обновления Adobe Flash Player. Заражение остановилось после атак банков. Хакеры вряд ли заработают на эпидемии, но смогут попиариться и получить доступ к данным, отмечают эксперты.
Во вторник, 24 октября, началась эпидемия вируса-шифровальщика Bad Rabbit. Он блокировал компьютеры или сервера и требовал выкуп в размере 0,05 биткоина ($280, или около 16 тыс. рублей). Большинство атак пришлось на Россию и Украину, но случаи заражения отмечались и в Германии, Турции и Японии. После блокировки СМИ в России и украинских госучреждений, вирус пытался заразить и банки РФ из топ-20, однако атака оказалась неудачной.
Ночью распространение вируса остановилось. К утру восстановить работу после кибератаки не удалось только крупнейшему российскому информагентству "Интерфакс". Заражение вирусом Bad Rabbit стало третьей крупнейшей эпидемией шифровальщиков в этом году после вируса WannaCry в мае и Petya в июне. Тогда эксперты объяснили атаки весенней публикацией АНБ США уязвимостей в Windows, которые обнародовала группа хакеров The Shadow Brokers.
Читайте также:
Деловой тест
Компьютерный вирус или природное явление?
Жертвы кролика
Эпидемия очередного вируса-вымогателя под именем Bad Rabbit началась 24 октября после полудня. По данным ESET, на Россию пришлось 65% атак, на Украину - 12,2%, Болгарию - 10,2, Турцию - 6,4, Японию - 3,8%, на другие страны - 2.4%. Специалисты "Лаборатории Касперского" фиксировали атаки Bad Rabbit также в Турции и Германии.
Первыми перестали работать сайты агентства "Интерфакс" и петербургского агентства "Фонтанка". Также оказались заражены, в частности, сайты изданий "Новая газета - Балтия", "Новая газета в Петербурге" "Суть событий" и "Аргументы недели Крым". Причем в "Фонтанке" подчеркнули, что у них был взломан именно сервер. "Фонтанка" связала атаку с публикациями о "ЧВК Вагнера", а также со статьей о краже сейфа с драгоценностями из здания полпредства. Также сообщалось о проблемах в работе сервисов ТАСС, однако в агентстве заявили, что произошел небольшой технический сбой в работе.
Специалисты по кибербезопасности Group-IB с 13:00 до 15:00 мск зафиксировали попытки заражения вирусом инфраструктур некоторых банков-клиентов. Позднее стало известно об атаке хакеров на украинское Мининфраструктуры, метро Киева и аэропорт Одессы, а также компьютеры пользователей в других странах. Около 2:00 замруководителя лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин заявил, что атака Bad Rabbit завершилась.
"Мы знаем об инцидентах и изучаем ситуацию", — сообщила представитель Microsoft в России Кристина Давыдова. Информацию о хакерской атаке также проверят в МВД России. Служба безопасности Украины в 21:00 заявила, что распространение вируса прекращено. В СБУ заявили, что вирус приходит с фишинговыми электронными письмами с обратным адресом, который ассоциируется со службой технической поддержки корпорации Microsoft.
Атака драконов Дейнерис
Согласно опубликованным Group-IB фото заблокированных компьютеров, хакеры рекомендуют "не терять время", пытаясь восстановить файлы без выкупа. При этом через 48 часов стоимость расшифровки за каждый ПК возрастает, но насколько, не указывается. Вирус заражает компьютер, шифруя на нем файлы. Для разблокировки нужно зайти через браузер Tor на специальный сайт по адресу caforssztxqzf2nm.onion. На нем и указано название вируса — Bad Rabbit. Чтобы получить пароль на расшифровку данных, хакеры требуют ввести "персональный код установки" — шифр из сообщения, выводимого на экране. После этого появится адрес биткоин-кошелька, на который требуется перевести деньги.
По данным Group-IB, Bad Rabbit предлагал пользователям установить обновление для Adobe Flash Player, если он соглашался, на устройство скачивался вредоносный файл. Заражение происходило через специальный сайт, где пользователю предлагали обновить Flash-плеер. Этот сайт, как предполагается, был связан с распространением спама. В Group-IB полагают, что злоумышленники могли быть связаны с продажей трафика или привлекли группу из этой сферы.
Как подчеркнули в компании, кибератака готовилась на протяжении нескольких дней. В частности, один из java-скриптов, участвующих в заражении, последний раз обновлялся еще 19 октября, то есть за 5 дней до эпидемии. В компании Proofpoint отмечают, что код вируса содержит ссылки на сериал "Игра престолов": в нем упоминаются имена драконов Дрогона, Рейгаля и Визериона. Вирус шифрует широкий спектр файлов, в том числе .doc, .docx, .jpg, добавляют в McAfee.
Создатели нового вымогателя учли опыт своих предшественников и лучше подготовились к борьбе с антивирусами. По данным Acronis, Bad Rabbit использует шифрование с использованием легального драйвера ядра dcrypt.sys; программа подписана сертификатами, имитирующими Symantec (крупнейший производитель американского ПО), что затрудняет обнаружение классическими антивирусами. Кроме того, Bad Rabbit не использует уязвимость Microsoft файл-сервера srv.sys, а шифрование диска производится без имитации работы chkdsk.exe — приложения, проверяющего жесткий диск на ошибку файловой системы.
Еще одним отличительным признаком нового шифровальщика стал kill switch, "экстренный выключатель" для вируса. Для его запуска на незараженном компьютере необходимо создать в системе файл C:\windows\infpub.dat и предоставить ему права "только для чтения". После этого даже в случае заражения файлы не будут зашифрованы. Эксперты также рекомендуют обновить операционную систему и системы безопасности, заблокировать зараженные IP-адреса, а также заменить пароли и заблокировать всплывающие окна.
Третья волна
Атака "Плохого кролика" стала третьей масштабной вирусной эпидемией в этом году. В мае вирус-шифровальщик WannaCry атаковал 200 тыс. компьютеров в 150 странах мира. Затем 27 июня вирус Petya (NotPetya и ExPetr) проник в 12,5 тыс. компьютеров в 65 странах. Согласно расследованию британского Национального центра по кибербезопасности, вирус запустили хакеры из КНДР Lazarus. Создателем Petya оказался 51-летний житель Днепропетровской области.
Сразу после атаки Bad Rabbit представители ESET заявили, что вымогатель — новая модификация вируса Petya. По данным компании, в атаке Bad Rabbit на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D – новая модификация этого шифратора. Вирус использует инструмент Mimikatz для извлечения учетных данных в зараженных системах. В отличие от своего предшественника Petya/NotPetya, Bad Rabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов.
В "Лаборатории Касперского" также подтвердили, что Bad Rabbit использует методы, аналогичные методам вируса-шифровальщика ExPetr. "Зловред распространяется через ряд зараженных сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети", - подчеркнули в компании.
Об этом же говорится и в отчете Group-IB. "Совпадения в коде указывают на связь атаки с использованием Bad Rabbit с июньской эпидемией шифровальщика NotPetya", - написала Group-IB в Telegram. Компания отмечает, что "в атаке NotPetya содержался такой же алгоритм вычисления хеш суммы от имени процесса, с тем отличием, что начальный вектор инициализации в случае NotPetya 0x12345678, а в BadRabbit - 0x87654321".
Атаки WannaCry и Petya эксперты еще летом объяснили весенней публикацией эксплойтов Агентства национальной безопасности США. По данным Arstechnica, хакеры использовали разработанный американскими шпионами электронный инструментарий Eternal Blue, скрещенный с программой-вымогателем WannaCry. Эксплойт Eternal Blue, который использовался АНБ для удаленного управления компьютерами на Windows, был обнародован в середине апреля группой Shadow Brokers в пакете с другими файлами, якобы принадлежавшими АНБ США.
Организаторы глобальных кибератак не смогли на них обогатиться. Создатели WannaCry за первые дни атаки заработали на своих жертвах около $66 тыс. Petya принес хакерам четыре биткоина, или около $10 тыс. Аналитики отмечали, что злоумышленники, вероятно, хотели собрать конфиденциальные данные атакованных компаний, чтобы потом использовать их для более серьезных атак или продемонстрировать эффективность своих инструментов. Французский специалист в области компьютерной безопасности Матье Суиш заявлял, в частности, что Petya был не вирусом-вымогателем, а вирусом-вайпером — вредоносной программой, собирающей с жертв данные для их уничтожения и препятствования их работе в более долгосрочном периоде.
