Bad Rabbit спустил с поводка автор или подражатель Not.Petya

26 октября 2017, 09:36 196

Хакерская атака
Российские СМИ сообщили о заражении вирусом-шифровальщиком Bad Rabbit сайтов ИА «Интерфакс» и санкт-петербургского выпуска «Новой газеты». Следующим атакам анонимного хакера подверглись метро Киева (не работали терминалы оплаты поездок бесконтактными картами), аэропорт Одессы (отключилась информационная система), Министерство инфраструктуры Украины и несколько российских банков, входящих в двадцатку крупнейших.

Плохие кроликиПроникнув в компьютер вирус шифрует все его содержимое и выводит на экран сообщение, в котором пользователю предлагается вернуть доступ к его данным за 0,5 биткоинов. Также указывается сайт в анонимной сети Tor, куда можно обратиться за подробностями.

«В некоторых компаниях работа полностью парализована - зашифрованы сервера и рабочие станции», — констатирует генеральный директор и основной владелец компании Group-IB Илья Сачков, специалист по кибербезопасности. Также он отметил, что атака Bad Rabbit на банки была неудачной, так как они лучше защищены. «Банки как боксер, который больше дерется, - у него лучше практика, и, соответственно, он сильнее», - считает Сачков.

Замглавы Group-IB Сергей Никитин утверждает, что дальнейшее распространение вируса маловероятно, хотя могут происходить отдельные случаи заражения.

Не ПетяКак пояснили РБК эксперты из Acronis, Bad Rabbit — это «более продвинутая версия шифровальщика Not. Petya и отличается тем, что не использует уязвимость Microsoft файл-сервера srv.sys, а шифрование происходит с использованием легального драйвера ядра dcrypt.sys, что затрудняет обнаружение шифровальщика классическими антивирусными программами».

Это уже третья атака подобного вируса в текущем году. 12 мая вредоносная программа-шифровальщик WannaCry перекрыла доступ к данным в компьютерах  в 74 странах. Хакеры предлагали пользователям заплатить от $300 до $600 в биткоинах в качестве выкупа. Активность вируса была наиболее высока в России, среди пострадавших оказались ОАО «Российские железные дороги», «МегаФон», МВД и ГИБДД. Досталось и банкам, хотя Центробанк  и поспешил сообщить,  что «последствия этих инцидентов были устранены в кратчайшие сроки».

Заражение WannaCry остановил британский программист Маркус Хатчинс, который случайно обнаружил в исходном коде вируса запрос к незарегистрированному домену и зарегистрировал его. По иронии судьбы, 2 августа Хатчинс был арестован за создание вируса Kronos.

А 27 июня  шифровальщик Petya (позже названный Not.Petya) проник в компьютеры около восьми десятков российских и украинских компаний, включая такие крупные, как Nivea, Mars, Mondelez International, «Роснефть», «Башнефть», «Запорожьеоблэнерго», «Укртелеком», на грани остановки находилась Чернобыльская АЭС. Вирус был встроен в обновление программы бухгалтерского учета M.E.Doc и лишь «притворялся» вымогателем — данные стирались вне зависимости от факта оплаты требуемой хакерами мзды.

ХакерЭто дало министру внутренних дел Украины Арсен Аваков основания утверждать, что «Not.Petya был запущен, чтобы замаскировать последствия кибероперации по массовому поражению компьютеров и несанкционированного сбора с них информации».

В Group-IB обнаружили совпадение части кода BadRabbit и NotPetya, хотя при их создании использовались разные способы шифрования и распространения. Эксперты считают, что создателем обоих вирусов может быть один и тот же хакер либо группа хакеров.



Комментарии
{**}