„Kaspersky Lab“ teigimu, tai gali būti trečiosios išpirkos reikalaujančių virusų bangos pranašas. Pirmieji du buvo sensacingi WannaCry ir Petya (dar žinoma kaip NotPetya). Kibernetinio saugumo ekspertai MIR 24 kalbėjo apie naujos tinklo kenkėjiškos programos atsiradimą ir kaip apsiginti nuo galingos jos atakos.
Dauguma „Bad Rabbit“ išpuolio aukų yra Rusijoje. Ukrainos, Turkijos ir Vokietijos teritorijoje jų daug mažiau, sakė „Kaspersky Lab“ antivirusinių tyrimų skyriaus vadovas. Viačeslavas Zakorževskis. Tikriausiai šalys, kuriose vartotojai aktyviai seka Rusijos interneto išteklius, buvo antros pagal aktyvumą.
Kai kenkėjiška programa užkrečia kompiuterį, ji užšifruoja jame esančius failus. Jis plinta per interneto srautą iš įsilaužtų interneto išteklių, tarp kurių daugiausia buvo federalinės Rusijos žiniasklaidos svetainės, taip pat Kijevo metro, Ukrainos infrastruktūros ministerijos ir Odesos tarptautinio oro uosto kompiuteriai ir serveriai. Taip pat užfiksuotas nesėkmingas bandymas atakuoti Rusijos bankus iš 20 geriausių.
Apie tai, kad „Bad Rabbit“ užpuolė „Fontanka“, „Interfax“ ir daugybę kitų leidinių, vakar pranešė informacijos saugumo srityje besispecializuojanti bendrovė „Group-IB“. Viruso kodo analizė tai parodė Bad Rabbit yra susijęs su Not Petya išpirkos programa, kuri birželio mėnšiemet atakavo energetikos, telekomunikacijų ir finansų įmones Ukrainoje.
Atakai buvo ruošiamasi keletą dienų ir, nepaisant infekcijos masto, išpirkos reikalaujanti programa iš atakos aukų pareikalavo palyginti nedidelės sumos – 0,05 bitkoino (tai yra apie 283 dolerius arba 15 700 rublių). Išpirkti turite 48 valandas. Pasibaigus šiam laikotarpiui, suma didėja.
Grupės IB specialistai mano, kad greičiausiai įsilaužėliai neketina užsidirbti. Tikėtinas jų tikslas – patikrinti įmonių, vyriausybės departamentų ir privačių įmonių ypatingos svarbos infrastruktūros tinklų apsaugos lygį.
Lengva būti užpultam
Kai vartotojas apsilanko užkrėstoje svetainėje, kenkėjiškas kodas siunčia informaciją apie vartotoją į nuotolinį serverį. Tada pasirodo iššokantis langas, kuriame prašoma atsisiųsti „Flash Player“ naujinimą, kuris yra netikras. Jei vartotojas patvirtino operaciją „Įdiegti“, į kompiuterį bus atsiųstas failas, kuris savo ruožtu sistemoje paleis kodavimo įrenginį Win32/Filecoder.D. Be to, prieiga prie dokumentų bus užblokuota, ekrane pasirodys išpirkos pranešimas.
Bad Rabbit virusas nuskaito tinklą, ar nėra atviro tinklo išteklių, o po to užkrėstame kompiuteryje paleidžia kredencialų rinkimo įrankį, o šis „elgesys“ skiriasi nuo pirmtakų.
Tarptautinės antivirusinės programinės įrangos Eset NOD 32 kūrėjo specialistai patvirtino, kad Bad Rabbit yra nauja Petya viruso modifikacija, kurios veikimo principas buvo tas pats – virusas šifravo informaciją ir reikalavo išpirkos bitkoinais (suma buvo palyginama su Bad Rabbit - 300 USD). Naujoji kenkėjiška programa ištaiso failų šifravimo klaidas. Viruso naudojamas kodas skirtas loginiams diskams, išoriniams USB diskams ir CD/DVD atvaizdams, taip pat įkrovos disko skaidiniams šifruoti.
Kalbėdamas apie auditoriją, kurią užpuolė Bad Rabbit, ESET Rusijos pardavimo palaikymo vadovas Vitalijus Zemskis teigė, kad 65% bendrovės antivirusinių produktų sustabdytų atakų tenka Rusijai. Likusi naujojo viruso geografija atrodo taip:
Ukraina – 12,2 proc.
Bulgarija – 10,2 proc.
Turkija – 6,4 proc.
Japonija – 3,8 proc.
kiti – 2,4 proc.
„Išpirkos programa naudoja gerai žinomą atvirojo kodo programinę įrangą, pavadintą DiskCryptor, kad užšifruotų aukos diskus. Užrakinimo pranešimų ekranas, kurį mato vartotojas, yra beveik identiškas Petya ir NotPetya užrakinimo ekranams. Tačiau tai yra vienintelis panašumas, kurį iki šiol matėme tarp dviejų kenkėjiškų programų. Visais kitais aspektais „BadRabbit“ yra visiškai naujas ir unikalus išpirkos reikalaujančių programų tipas“, – sako „Check Point Software Technologies“ CTO. Nikita Durovas.
Kaip apsisaugoti nuo Bad Rabbit?
Ne „Windows“ operacinių sistemų savininkai gali lengviau atsikvėpti, nes naujasis išpirkos reikalaujantis virusas daro pažeidžiamus tik kompiuterius su šia „ašia“.
Norėdami apsisaugoti nuo tinklo kenkėjiškų programų, ekspertai rekomenduoja kompiuteryje susikurti failą C:\windows\infpub.dat, kartu nustatydami jo tik skaitymo teises – tai lengva padaryti administravimo skiltyje. Tokiu būdu blokuosite failo vykdymą, o visi dokumentai, atkeliavę iš išorės, nebus užšifruoti, net jei jie pasirodys užkrėsti. Kad neprarastumėte vertingų duomenų užsikrėtus virusu, dabar pasidarykite atsarginę kopiją (atsarginę kopiją). Ir, žinoma, verta prisiminti, kad išpirkos mokėjimas yra spąstai, kurie negarantuoja, kad atrakinsite kompiuterį.
Primename, kad virusas šių metų gegužę išplito mažiausiai 150 pasaulio šalių. Jis užšifravo informaciją ir pareikalavo sumokėti išpirką, remiantis įvairiais šaltiniais, nuo 300 iki 600 dolerių. Nuo jo nukentėjo daugiau nei 200 tūkst. Remiantis viena versija, jos kūrėjai rėmėsi JAV NSA kenkėjiška programa Eternal Blue.
Alla Smirnova kalbėjosi su ekspertais
Sveiki visi! Tik kitą dieną Rusijoje ir Ukrainoje, Turkijoje, Vokietijoje ir Bulgarijoje prasidėjo plataus masto įsilaužėlių ataka su naujuoju Bad Rabbit šifravimo virusu, dar žinomu kaip Diskcoder.D. Šiuo metu išpirkos reikalaujanti programa atakuoja didelių ir vidutinių organizacijų korporacinius tinklus, blokuodama visus tinklus. Šiandien mes jums pasakysime, kas yra šis Trojos arklys ir kaip galite nuo jo apsisaugoti.
Kas yra virusas?
„Bad Rabbit“ („Bad Rabbit“) veikia pagal standartinę „ransomware“ schemą: patekusi į sistemą, užkoduoja failus, kurių iššifravimui įsilaužėliams reikia 0,05 bitkoino, kurio kursas yra 283 USD (arba 15 700 rublių). Apie tai pranešama atskirame lange, kuriame iš tikrųjų reikia įvesti įsigytą raktą. Grėsmė yra Trojos arklys Trojan.Win32.Generic, tačiau jame yra ir kitų komponentų, pvz DangerousObject.Multi.Generic ir Išpirka .Laimėk 32.Gen .ftl.
Bad Rabbit – naujas išpirkos reikalaujantis virusas
Vis dar sunku visiškai atsekti visus infekcijos šaltinius, tačiau ekspertai šiuo metu dirba. Tikėtina, kad grėsmė į kompiuterį patenka per užkrėstas svetaines, kurios yra peradresuojamos, arba prisidengiant suklastotais populiarių papildinių, pvz., „Adobe Flash“, naujinimais. Tokių svetainių sąrašas tik plečiasi.
Ar įmanoma pašalinti virusą ir kaip apsisaugoti?
Iš karto reikia pasakyti, kad šiuo metu visos antivirusinės laboratorijos pradėjo analizuoti šį Trojos arklį. Jei konkrečiai ieškote informacijos apie viruso pašalinimą, tai nėra. Iškart atmeskime standartinį patarimą – pasidarykite atsarginę sistemos kopiją, grįžimo tašką, ištrinkite tokius ir tokius failus. Jei neturite išsaugojimų, tada visa kita neveikia, įsilaužėliai tokius momentus apgalvojo, dėl viruso specifikacijos.
Manau, kad netrukus bus platinami mėgėjų pagaminti dekoderiai Bad Rabbit - ar sekti šias programas, ar ne, tai tavo reikalas. Kaip parodė ankstesnė išpirkos reikalaujanti programa Petya, tai padeda nedaugeliui žmonių.
Bet jūs galite užkirsti kelią grėsmei ir ją pašalinti, kai bandote patekti į kompiuterį. Kaspersky ir ESET laboratorijos pirmosios sureagavo į pranešimus apie viruso epidemiją ir jau blokuoja bandymus įsiskverbti. „Google Chrome“ naršyklė taip pat pradėjo identifikuoti užkrėstus išteklius ir įspėti apie jų pavojų. Štai ką daryti, kad apsisaugotumėte nuo BadRabbit:
- Jei apsaugai naudojate Kaspersky, ESET, Dr.Web ar kitus populiarius analogus, būtinai turite atnaujinti duomenų bazes. Be to, „Kaspersky“ turite įjungti „Veiklos stebėjimą“ (sistemos stebėjimo priemonę) ir ESET pritaikyti parašus su naujinimu 16295.
- Jei nenaudojate antivirusinių programų, turite užblokuoti failų vykdymą C:\Windows\infpub.dat ir C:\Windows\cscc.dat. Tai atliekama naudojant grupės strategijos rengyklę arba „Windows“ skirtą „AppLocker“ programą.
- Būtinai sukurkite atsarginę sistemos kopiją. Teoriškai kopija visada turėtų būti saugoma keičiamojoje laikmenoje. Čia yra trumpas vaizdo įrašas, kaip jį sukurti.
Pageidautina išjungti paslaugos vykdymą - „Windows“ valdymo instrumentai (WMI). Pirmajame dešimtuke paslauga vadinama „Windows valdymo instrumentai“. Dešiniuoju mygtuku įveskite paslaugos ypatybes ir pasirinkite „Paleidimo tipas“ režimu „Išjungta“.
Išvada
Apibendrinant verta pasakyti svarbiausią dalyką – neturėtumėte mokėti išpirkos, nesvarbu, ką užšifravote. Tokie veiksmai tik skatina sukčius kurti naujas virusų atakas. Sekite antivirusinių kompanijų forumus, kurie, tikiuosi, netrukus ištirs Bad Rabbit virusą ir suras veiksmingą piliulę. Būtinai atlikite anksčiau nurodytus veiksmus, kad apsaugotumėte savo OS. Jei kyla sunkumų juos įgyvendinant, atsisakykite prenumeratos komentaruose.
Trečia didelė kibernetinė ataka per metus. Šį kartą virusas nauju pavadinimu Bad Rabbit ir senais įpročiais – duomenų šifravimu ir pinigų prievartavimu už atrakinimą. O paveiktoje zonoje vis dar yra Rusija, Ukraina ir kai kurios kitos NVS šalys.
Bad Rabbit veikia pagal įprastą schemą: siunčia sukčiavimo laišką su prisegtu virusu arba nuoroda. Visų pirma, užpuolikai gali prisistatyti kaip „Microsoft“ techninė pagalba ir paprašyti jų skubiai atidaryti pridėtą failą arba sekti nuorodą. Yra ir kitas platinimo kelias – netikras Adobe Flash Player atnaujinimo langas. Abiem atvejais „Bad Rabbit“ elgiasi taip pat, kaip ir ne taip seniai sensacingoji – užšifruoja aukos duomenis ir reikalauja 0,05 bitkoino išpirkos, kuri 2017 m. spalio 25 d. valiutos kursu yra maždaug 280 USD. Naujosios epidemijos aukomis tapo „Interfax“, Sankt Peterburgo „Fontanka“ leidimas, Kijevo metro, Odesos oro uostas ir Ukrainos kultūros ministerija. Yra įrodymų, kad naujasis virusas bandė atakuoti kelis žinomus Rusijos bankus, tačiau ši idėja žlugo. Ekspertai „Bad Rabbit“ sieja su ankstesniais šiais metais užfiksuotais dideliais išpuoliais. To įrodymas yra panaši šifravimo programinė įranga Diskcoder.D, ir tai yra tas pats Petya šifravimo įrenginys, tik šiek tiek pakeistas.
Kaip apsisaugoti nuo Bad Rabbit?
Ekspertai rekomenduoja „Windows“ kompiuterių savininkams sukurti „infpub.dat“ failą ir įdėti jį į „C“ disko „Windows“ aplanką. Dėl to kelias turėtų atrodyti taip: C:\windows\infpub.dat. Tai galima padaryti naudojant įprastą bloknotą, bet su administratoriaus teisėmis. Norėdami tai padaryti, randame nuorodą į Notepad programą, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite "Vykdyti kaip administratorių".
Tada jums tereikia išsaugoti šį failą adresu C:\windows\, tai yra, „Windows“ aplanke C diske. Failo pavadinimas: infpub.dat, o failo plėtinys yra „dat“. Nepamirškite pakeisti numatytojo bloknoto plėtinio „txt“ į „dat“. Išsaugoję failą atidarykite Windows aplanką, suraskite sukurtą failą infpub.dat, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite "Ypatybės", kur pačiame apačioje reikia pažymėti "Read Only". Taigi, net jei užklupsite Bad Rabbit virusą, jis negalės užšifruoti jūsų duomenų.
Prevencinės priemonės
Nepamirškite, kad apsisaugoti nuo bet kokio viruso galite tiesiog laikydamiesi tam tikrų taisyklių. Skamba banaliai, bet niekada neatverkite laiškų, o juo labiau jų priedų, jei adresas jums atrodo įtartinas. Sukčiavimo el. laiškai, ty apsimetimas kitomis paslaugomis, yra labiausiai paplitęs užsikrėtimo būdas. Būkite atsargūs, ką atidarote. Jei pridėtas failas laiške vadinamas „Svarbus dokumentas.docx_______.exe“, tuomet šio failo atidaryti tikrai neturėtumėte. Be to, jums reikia turėti svarbių failų atsargines kopijas. Pavyzdžiui, šeimos archyvą su nuotraukomis ar darbo dokumentais galima kopijuoti išoriniame diske arba debesies saugykloje. Nepamirškite, kaip svarbu naudoti licencijuotą „Windows“ versiją ir reguliariai diegti naujinimus. Saugos pataisas „Microsoft“ leidžia reguliariai ir jas įdiegiantys asmenys neturi problemų su tokiais virusais.
Šių metų spalio pabaiga pasižymėjo nauju virusu, kuris aktyviai atakavo įmonių ir namų vartotojų kompiuterius. Naujasis virusas yra ransomware ir vadinamas Bad Rabbit, o tai reiškia blogą triušį. Šio viruso pagalba buvo užpultos kelių Rusijos žiniasklaidos priemonių svetainės. Vėliau virusas buvo aptiktas ir Ukrainos įmonių informaciniuose tinkluose. Ten buvo atakuojami metro informaciniai tinklai, įvairios ministerijos, tarptautiniai oro uostai ir pan. Kiek vėliau panaši viruso ataka buvo pastebėta Vokietijoje ir Turkijoje, nors jos aktyvumas buvo gerokai mažesnis nei Ukrainoje ir Rusijoje.
Kenkėjiškas virusas yra specialus papildinys, kuris, patekęs į kompiuterį, užšifruoja jo failus. Kai informacija yra užšifruota, užpuolikai bando gauti atlygį iš vartotojų už duomenų iššifravimą.
Viruso plitimas
ESET antivirusinės kūrimo laboratorijos ekspertai išanalizavo viruso plitimo kelio algoritmą ir priėjo prie išvados, kad tai modifikuotas virusas, kuris ne taip seniai plito kaip ir Petya virusas.
ESET laboratorijos ekspertai apskaičiavo, kad kenkėjiški įskiepiai buvo platinami iš 1dnscontrol.com šaltinio ir IP adreso IP5.61.37.209. Su šiuo domenu ir IP taip pat susieti dar keli ištekliai, įskaitant secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.
Specialistai ištyrė, kad šių svetainių savininkai registravo daug įvairių išteklių, pavyzdžiui, tų, per kuriuos, pasitelkę nepageidaujamus laiškus, bandoma parduoti padirbtus vaistus. ESET specialistai neatmeta, kad būtent šių išteklių pagalba, naudojant šlamštą ir sukčiavimą, buvo įvykdyta pagrindinė kibernetinė ataka.
Kaip užsikrečiama Bad Rabbit virusu?
Kompiuterinės kriminalistikos laboratorijos specialistai tyrė, kaip virusas pateko į vartotojų kompiuterius. Nustatyta, kad daugeliu atvejų „Bad Rabbit“ išpirkos reikalaujantis virusas buvo platinamas kaip „Adobe Flash“ atnaujinimas. Tai yra, virusas nenaudojo operacinės sistemos spragų, o buvo įdiegtas pačių vartotojų, kurie to nežinodami patvirtino jo diegimą, manydami, kad atnaujina „Adobe Flash“ įskiepį. Patekęs į vietinį tinklą virusas pavogdavo iš atminties prisijungimo vardus ir slaptažodžius ir pats išplisdavo į kitas kompiuterių sistemas.
Kaip įsilaužėliai išvilioja pinigus
Įdiegęs išpirkos reikalaujantį virusą kompiuteryje, jis užšifruoja saugomą informaciją. Tada vartotojai gauna pranešimą, nurodantį, kad norėdami pasiekti savo duomenis, jie turi atlikti mokėjimą nurodytoje tamsioje svetainėje. Norėdami tai padaryti, pirmiausia turite įdiegti specialią „Tor“ naršyklę. Už tai, kad kompiuteris bus atrakintas, užpuolikai išvilioja 0,05 bitkoinų sumą. Šiandien už 1 Bitcoin kainuoja 5600 USD, tai yra maždaug 280 USD už kompiuterio atrakinimą. Norint atlikti mokėjimą, vartotojui suteikiamas 48 valandų laikotarpis. Praėjus šiam laikotarpiui, jei reikiama suma nebuvo pervesta į užpuoliko elektroninę sąskaitą, suma didėja.
Kaip apsisaugoti nuo viruso
- Norėdami apsisaugoti nuo užsikrėtimo Bad Rabbit virusu, turėtumėte blokuoti prieigą iš informacinės aplinkos į aukščiau nurodytus domenus.
- Namų vartotojams reikia atnaujinti dabartinę Windows versiją ir antivirusinę programą. Tokiu atveju kenkėjiškas failas bus aptiktas kaip išpirkos reikalaujantis virusas, o tai pašalins galimybę jį įdiegti kompiuteryje.
- Tie vartotojai, kurie naudojasi Windows operacinės sistemos integruota antivirusine programa, jau turi apsaugą nuo šių išpirkos reikalaujančių programų. Jis įdiegtas „Windows Defender“ antivirusinėje programoje.
- Kaspersky Lab antivirusinės programos kūrėjai pataria visiems vartotojams periodiškai kurti atsargines duomenų kopijas. Be to, ekspertai rekomenduoja blokuoti c:\windows\infpub.dat, c:\WINDOWS\cscc.dat failų vykdymą ir, jei įmanoma, išjungti WMI paslaugos naudojimą.
Išvada
Kiekvienas kompiuterio vartotojas turėtų atsiminti, kad dirbant tinkle kibernetinis saugumas turėtų būti pirmiausia. Todėl visada turėtumėte stebėti tik patikrintų informacijos išteklių naudojimą ir atidžiai naudotis el. paštu bei socialiniais tinklais. Būtent per šiuos išteklius dažniausiai plinta įvairūs virusai. Elementarios elgesio informacinėje aplinkoje taisyklės pašalins viruso atakos metu kylančias problemas.
„Bad Rabbit“ šifravimo virusas, prieš kurį Rusijos žiniasklaida buvo užpultas, taip pat bandė atakuoti Rusijos bankus iš 20 geriausių, „Forbes“ sakė „Group-IB“, tirianti ir užkertanti kelią kibernetiniams nusikaltimams. Bendrovės atstovas atsisakė patikslinti detales apie atakas prieš kredito įstaigas, paaiškindamas, kad Grupė-IB neatskleidžia informacijos apie klientus, naudojančius įsibrovimų aptikimo sistemą.
Kibernetinio saugumo ekspertų teigimu, bandymai užkrėsti Rusijos bankų infrastruktūras virusu įvyko spalio 24 dieną nuo 13 iki 15 val. Maskvos laiku. Group-IB mano, kad kibernetinės atakos parodė geresnę bankų apsaugą, palyginti su nebankinio sektoriaus įmonėmis. Anksčiau bendrovė pranešė, kad Rusijos žiniasklaidą užpuolė naujas išpirkos reikalaujantis virusas, tikriausiai susijęs su birželio mėnesio išpirkos reikalaujančios „NotPetya“ epidemija (tai rodo sutapimai kode). Kalbama apie agentūros „Interfax“ informacines sistemas, taip pat Sankt Peterburgo naujienų portalo „Fontanka“ serverius. Be to, virusas pateko į Kijevo metro, Ukrainos infrastruktūros ministerijos ir Odesos tarptautinio oro uosto sistemas. „NotPetya“ šią vasarą daugiausia nukentėjo Ukrainos energetikos, telekomunikacijų ir finansų įmonėse. Už BadRabbit virusu užkrėstų failų iššifravimą užpuolikai reikalauja 0,05 bitkoino, o tai pagal dabartinį kursą apytiksliai atitinka 283 USD arba 15 700 rublių.
„Kaspersky Lab“ patikslino, kad šį kartą daugumą aukų pasirinko įsilaužėliai Rusijoje. Tačiau panašių išpuolių įmonėje užfiksuota Ukrainoje, Turkijoje ir Vokietijoje, tačiau „daug mažesniais skaičiais“. „Visi ženklai rodo, kad tai yra tikslinė ataka prieš įmonių tinklus. Naudojami metodai, panašūs į tuos, kuriuos stebėjome ExPetr atakoje, tačiau ryšio su ExPetr patvirtinti negalime“, – sakė bendrovės atstovas. „Forbes“ pašnekovas pridūrė, kad visi „Kaspersky Lab“ produktai „aptinka šiuos kenkėjiškus failus kaip UDS:DangerousObject.Multi.Generic“.
Kaip apsisaugoti?
Kad apsisaugotų nuo šios atakos, Kaspersky Lab rekomendavo naudoti antivirusinę programą su įjungtu KSN ir System Monitor moduliu. „Jei „Kaspersky Lab“ saugos sprendimas neįdiegtas, rekomenduojame neleisti vykdyti failų pavadinimais c:\windows\infpub.dat ir C:\Windows\cscc.dat naudojant sistemos administravimo įrankius“, – patarė anti- „Kaspersky“ laboratorijos virusų tyrimų skyrius“ Viačeslavas Zakorževskis.
Group-IB pažymi, kad tam, kad virusas negalėtų užšifruoti failų, „reikia sukurti failą C:\windows\infpub.dat ir nustatyti jį kaip tik skaitymo“. Po to, net jei bus užkrėsti, failai nebus užšifruoti, pranešė bendrovė. Tuo pačiu metu reikia nedelsiant izoliuoti kompiuterius, kurie siunčia tokius kenkėjiškus failus, kad išvengtumėte didelio masto kitų prie tinklo prijungtų kompiuterių užkrėtimo. Po to vartotojai turi įsitikinti, kad pagrindinių tinklo mazgų atsarginės kopijos yra atnaujintos ir nepažeistos.
Atlikus pradinius veiksmus, vartotojui patariama atnaujinti operacines sistemas ir apsaugos sistemas, tuo pat metu blokuojant IP adresus ir domenų pavadinimus, iš kurių buvo platinami kenkėjiški failai. Group-IB rekomenduoja pakeisti visus slaptažodžius į sudėtingesnius ir nustatyti iššokančiųjų langų blokatorių, taip pat uždrausti slaptažodžių saugojimą LSA Dump aiškiu tekstu.
Kas yra už BadRabbit atakos
2017 metais jau buvo užfiksuotos dvi didžiausios išpirkos programinės įrangos epidemijos – WannaCry (užpuolė 200 000 kompiuterių 150 šalių) ir ExPetr. Pastaroji yra Petya ir kartu NotPetya, pažymi „Kaspersky Lab“. Dabar, anot bendrovės, „prasideda trečiasis“. Naujosios „Bad Rabbit“ išpirkos programinės įrangos pavadinimas „užrašytas tamsiojo žiniatinklio puslapyje, kurį jos kūrėjai siunčia norėdami pasiteirauti“, nurodė bendrovė. Group-IB mano, kad Bad Rabbit yra modifikuota NotPetya versija su klaidų pataisymais šifravimo algoritme. Visų pirma, „Bad Rabbit“ kodas apima blokus, kurie visiškai pakartoja „NotPetya“.
ESET Rusija sutinka, kad atakoje naudojama Win32/Diskcoder.D kenkėjiška programa yra modifikuota Win32/Diskcoder.C versija, geriau žinoma kaip Petya/NotPetya. Kaip „Forbes“ sakė Vitalijus Zemskichas, ESET Russia pardavimų palaikymo vadovas, atakų statistika pagal šalis „daugiausia atitinka geografinį svetainių, kuriose yra kenkėjiškų „JavaScript“, pasiskirstymą. Taigi daugiausia užsikrėtimų buvo Rusijoje (65 proc.), toliau seka Ukraina (12,2 proc.), Bulgarija (10,2 proc.), Turkija (6,4 proc.) ir Japonija (3,8 proc.).
Užsikrėtimas Bad Rabbit virusu įvyko apsilankius svetainėse, į kurias buvo įsilaužta. Įsilaužėliai atsisiuntė „JavaScript“ injekciją į pažeistus HTML kodo išteklius, kurie lankytojams parodė netikrą langą, siūlantį įdiegti „Adobe Flash“ grotuvo naujinimą. Jei vartotojas sutiko su atnaujinimu, kompiuteryje buvo įdiegtas kenkėjiškas failas pavadinimu „install_flash_player.exe“. „Užkrėsdamas darbo vietą organizacijoje, šifruotojas gali plisti įmonės tinkle per SMB protokolą. Skirtingai nei jo pirmtakas Petya/NotPetya, Bad Rabbit nenaudoja EthernalBlue išnaudojimo – vietoje to jis nuskaito tinklą, ar nėra atvirų tinklo išteklių“, – sako Zemskikh. Tada užkrėstame kompiuteryje paleidžiamas „Mimikatz“ įrankis, kad būtų galima rinkti kredencialus. Be to, pateikiamas užkoduotas prisijungimų ir slaptažodžių sąrašas.
Kol kas informacijos apie tai, kas organizavo programišių atakas, nėra. Tuo pačiu metu, anot Group-IB, panašios masinės WannaCry ir NotPetya atakos gali būti siejamos su vyriausybės finansuojamomis programišių grupėmis. Ekspertai tokią išvadą daro remdamiesi tuo, kad finansinė tokių atakų nauda, palyginti su jų įgyvendinimo sudėtingumu, yra „nereikšminga“. „Greičiausiai tai buvo ne bandymai užsidirbti, o įmonių, vyriausybinių departamentų ir privačių įmonių kritinės infrastruktūros tinklų apsaugos lygio patikrinimas“, – daro išvadą ekspertai. IB grupės atstovas „Forbes“ patvirtino, kad naujausias virusas „Bad Rabbit“ gali būti vyriausybės ir verslo infrastruktūros apsaugos išbandymas. „Taip, tai įmanoma. Atsižvelgiant į tai, kad atakos buvo vykdomos kryptingai – prieš ypatingos svarbos infrastruktūros objektus – oro uostą, metro, vyriausybines agentūras“, – aiškina „Forbes“ pašnekovas.
Atsakydama į klausimą apie naujausios atakos vykdytojus, ESET Rusija pabrėžia, kad naudojant tik antivirusinės įmonės įrankius kokybiško tyrimo atlikti ir identifikuoti su juo susijusių asmenų neįmanoma, tai yra kitokios srities specialistų užduotis. profilį. „Kaip antivirusinė įmonė, mes nustatome atakų metodus ir taikinius, kenkėjiškus užpuolikų įrankius, pažeidžiamumą ir išnaudojimus. Nusikaltėlių paieška, motyvai, tautybė ir pan. – ne mūsų atsakomybė“, – teigė bendrovės atstovas, žadėdamas pagal tyrimo rezultatus padaryti išvadas dėl Bad Rabbit paskyrimo. „Deja, artimiausiu metu sulauksime daug tokių incidentų – šios atakos vektorius ir scenarijus parodė didelį efektyvumą“, – prognozuoja ESET Rusija. „Forbes“ pašnekovas primena, kad 2017 metais bendrovė prognozavo tikslinių atakų prieš įmonių sektorių, pirmiausia finansines organizacijas, padidėjimą (preliminariais vertinimais, daugiau nei 50 proc.). „Šios prognozės dabar pildosi, matome, kad išpuolių skaičius didėja ir nukentėjusioms įmonėms daroma žala“, – pripažįsta jis.
