Проверка на прочность: зачем создатели вируса BadRabbit атаковали СМИ и банки

Источник
Финансовая выгода от подобных WannaCry и NotPetya атак в сравнении со сложностью их проведения крайне мала, считают опрошенные Forbes эксперты.
Вирус-шифровальщик Bad Rabbit, атаке которого накануне подверглись российские СМИ, пытался атаковать и российские банки из топ-20, рассказали Forbes в Group-IB, которая занимается расследованием и предотвращением киберпреступлений. Уточнить подробности об атаках на кредитные организации представитель компании отказался, пояснив, что Group-IB не раскрывает информацию о клиентах, использующих ее систему обнаружения вторжений.
 
По данным специалистов по кибербезопасности, попытки заражения вирусом инфраструктур российских банков происходили 24 октября с 13:00 до 15:00 мск. В Group-IB считают, что кибератаки продемонстрировали более качественную защиту банков по сравнению с компаниями небанковского сектора. Ранее в компании сообщили, что новый вирус-шифровальщик, вероятно, связанный с июньской эпидемией шифровальщика NotPetya (на это указывают совпадения в коде), атаковал российские СМИ. Речь шла об информационных системах агентства «Интерфакс», а также серверах петербургского новостного портала «Фонтанка». Кроме того, вирус ударил по системам Киевского метрополитена, министерства инфраструктуры Украины, Международного аэропорта «Одесса». NotPetya летом поразил энергетические, телекоммуникационные и финансовые компании преимущественно на Украине. За расшифровку файлов, зараженных вирусом BadRabbit, злоумышленники требуют 0,05 биткойна, что по текущему курсу примерно эквивалентно $283 или 15 700 рублям.

В «Лаборатории Касперского» уточнили, что в этот раз большинство жертв хакеры выбрали в России. Однако похожие атаки в компании зафиксировали на Украине, Турции и Германии, но «в значительно меньшем количестве». «Все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем», — сообщил представитель компании. Собеседник Forbes добавил, что все продукты «Лаборатории Касперского» «детектируют эти вредоносные файлы как UDS:DangerousObject.Multi.Generic».

Как защититься?

В целях защиты от этой атаки в «Лаборатории Касперского» рекомендовали использовать антивирус с включенным KSN и модулем «Мониторинг системы». «Если не установлено защитное решение «Лаборатории Касперского», мы рекомендуем запретить исполнение файлов с названиями c:windowsinfpub.dat и  C:Windowscscc.dat с помощью инструментов системного администрирования», — посоветовал руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский.

В Group-IB отмечают, чтобы вирус не смог зашифровать файлы, «необходимо создать файл C:windowsinfpub.dat и поставить ему права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы, говорится в сообщении компании. В то же время нужно оперативно изолировать компьютеры, которые были замечены в пересылке подобных вредоносных файлов, чтобы избежать масштабного заражения других компьютеров, подключенных к сети. После этого пользователям необходимо убедиться в актуальности и целостности резервных копий ключевых сетевых узлов.

Когда первичные действия выполнены, пользователю советуют обновить операционные системы и системы безопасности, параллельно заблокировав IP-адреса и доменные имена, с которых происходило распространение вредоносных файлов. Group-IB рекомендует сменить все пароли на более сложные и поставить блокировку всплывающих окон, а также запретить хранение паролей в LSA Dump в открытом виде.

Кто стоит за атакой BadRabbit

В 2017 году уже было зафиксировано две крупнейших эпидемии шифровальщиков — WannaCry (атаковал 200 000 компьютеров в 150 странах мира) и ExPetr. Последний — Petya и одновременно NotPetya, отмечают в «Лаборатории Касперского». Теперь, по мнению компании, «начинается третья». Имя нового вируса-шифровальщика Bad Rabbit «написано на странице в даркнете, на которую его создатели отправляют за выяснением деталей», уточняют в компании. В Group-IB полагают, что Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. В частности, код Bad Rabbit включает в себя блоки, полностью повторяющие NotPetya. 

В ESET Russia соглашаются, что использовавшееся в атаке вредоносное ПО «Win32/Diskcoder.D» – модифицированная версия «Win32/Diskcoder.C», более известного как Petya/NotPetya. Как уточнил Виталий Земских, руководитель поддержки продаж ESET Russia, в беседе с Forbes, статистика атак по странам «в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript». Таким образом, большая часть заражений пришлась на Россию (65%), следом идут Украина (12,2%), Болгария (10,2%), Турция (6,4%) и Япония (3,8%).

Заражение вирусом Bad Rabbit происходило после захода на взломанные сайты. На скомпрометированные ресурсы в HTML-код хакеры загрузили JavaScript-инжект, который показывал посетителям поддельное окно, предлагающее установить обновление Adobe Flash плеера. Если пользователь соглашался на обновление, то на компьютер устанавливался вредоносный файл с именем «install_flash_player.exe». «Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, Bad Rabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов», — говорит Земских. Следом на зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Кроме того, предусмотрен жестко закодированный список логинов и паролей.

Информации о том, кто организовал хакерские атаки пока нет. В то же время, по мнению Group-IB, похожие по характеру массовые атаки WannaCry и NotPetya могли быть связаны с хакерскими группировками, финансируемыми государствами. Специалисты делают такой вывод на основании того, что финансовая выгода от подобных атак в сравнении со сложностью их проведения «ничтожна». «Скорее всего это были не попытки заработать, а проверить уровень защиты сетей критической инфраструктуры предприятий, госведомств и частных компаний», — заключают эксперты. Представитель Group-IB подтвердил Forbes, что последний вирус — Bad Rabbit – может оказаться проверкой защиты инфраструктур госведомств и бизнеса. «Да, это не исключено. Учитывая, что атаки велись точечно — по объектам критической инфраструктуры — аэропорт, метрополитен, госучреждения», — поясняет собеседник Forbes.

Отвечая на вопрос о виновных в последней атаке, в ESET Russia подчеркивают, что используя только инструменты антивирусной компании, провести качественное расследование и установить причастных невозможно, это задача специалистов другого профиля. «Мы как антивирусная компания выявляем методы и цели атак, вредоносные инструменты атакующих, уязвимости и эксплойты. Поиск виновных, их мотивов, государственной принадлежности и прочее – не наша сфера ответственности», — заявил представитель компании, пообещав сделать выводы о назначении Bad Rabbit по итогам расследования. «К сожалению, в ближайшей перспективе мы увидим немало подобных инцидентов – вектор и сценарий данной атаки показали высокую эффективность», — делают прогнозы в ESET Russia. Собеседник Forbes напоминает, что на 2017 год компания прогнозировала рост числа целевых атак на корпоративный сектор, прежде всего, на финансовые организации (более чем на 50%, по предварительным оценкам). «В настоящее время эти прогнозы сбываются, мы наблюдаем рост числа атак в сочетании с увеличением ущерба пострадавших компаний», — признает он.
Персоны Компании
Касперский в Америке не нужен даже даром
Разработчики антивируса говорят, что украли чужие секреты случайно и больше так не будут поступать.
Кто сдал США российских хакеров
Задержания за границей компьютерных взломщиков связывают с деятельностью экс-сотрудника Центра информационной безопасности ФСБ РФ.
Хакеры сослались на «Игру престолов»
Компьютерный вирус атаковал российские СМИ.
Программный спор дошел до Калифорнии
Разработчик софта для банкоматов подал иск к Сбербанку.
Американским чиновникам запретили антивирус Касперского
В Вашингтоне видят в ПО угрозу национальной безопасности.
«Патентный тролль» напал на «Лабораторию Касперского»
Это третий иск к компании в США, пока счет 2:0 в ее пользу.
Моя цифровая оборона
Как российское государство готовится защищаться на кибервойне.
«Настораживающие связи»: в США предложили запретить Пентагону ПО «Лаборатории Касперского»
Конгресс США и Белый дом сошлись во мнении, что российской компании нельзя доверить защиту «критической инфраструктуры, жизненно важной для обеспечения безопасности государства».
Эксперты заявили о потере данных после кибератаки вируса Petya
Вирус Petya, который поразил компании на Украине и в России, изначально не предполагал возвращения данных с зараженных компьютеров. Для этого необходим уникальный идентификатор, в этой версии вируса его нет.
ЦБ подтвердил заражение российских банков
«Хоум кредит банк» признал, что не проводит операции из-за кибератак, не работает его сайт и 3D secure.
Компьютеры «Башнефти» парализованы клоном вируса WannaCry
По данным Group-IB, атаке подверглись более 80 российских и украинских компаний.
«Мы всегда жили с этим шлейфом про русских хакеров»
Гендиректор «Лаборатории Касперского» Евгений Касперский о кибербезопасности в России и мире.
Секреты топ-чиновников дошли до суда
Журналисты не смогут присутствовать на процессе по делу «Шалтая-Болтая», поскольку в его материалах содержатся государственные тайны.
Украина ищет в «Яндексе» измену
В киевском и одесском офисах компании прошли обыски.
Следственный комитет занялся обысками в O1 Properties
Они связаны с уголовным делом в отношении сотрудников спортивного общества «Динамо».
Порошенко не «ВКонтакте»: зачем Украина отказалась от российских соцсетей
Президент Украины Петр Порошенко подписал указ о применении «ограничительных мер» в отношении большой группы российских компаний и физических лиц. В санкционный список попали такие гиганты, как «Яндекс» и Mail.Ru Group с ее социальными сетями. Как будет применяться режим ограничений и чем они обернутся для бизнеса обеих стран, разбирался РБК.
Украина ввела санкции против российского интернета
В списке заблокированных — «Яндекс», Mail.ru Group, «ВКонтакте», «Лаборатория Касперского».
Вирус собрал выкуп
Новая вспышка заражений компьютеров ожидается сегодня.