Group-IB: вирус Badrabbit атаковал российские банки из первой двадцатки

25 Октября 2017

МОСКВА, 25 октября Во вторник ряд российских СМИ, а также банки из первой двадцатки атаковал вирус-шифровальщик BadRabbit. О хакерских атаках на свои банковские и информационные теории также сообщили Киевский метрополитен и Одесский аэропорт.

Эти файлы приходили туда во вторник с 13:00 до 15:00 мск. То есть на банки данный вирус тоже пытались распространить, сказал генеральный босс компании Group-IB, занимающейся предотвращением и расследованием киберпреступлений, Илья Сачков.

По его словам, банки лучше защищены от кибератак, чем компании небанковского квадранта.

Также Group-IB зафиксировала атаки на несколько российских СМИ: известно как минимум о трех пострадавших редакциях.

В компании добавили, что следят за развитием событий и позднее сообщат о технических подробностях инцидентов.

Судя по всему, мы скрестились с новой эпидемией. Жертвой вируса-шифровальщика стали не только знаменитые СМИ, но и ряд госучреждений и стратегических объектов на Украине, озвучила Group-IB в своем Telegram-канале.

Представители Мегафона, Tele2 и Вымпелкома (бренд Билайн ) сообщили, что работают в штатном режиме.

Улучшенная версия NotPetya

Group-IB утверждает, что атака готовилась несколько дней: один из скриптов обновлялся 19 октября.

Расследование показало, что раздача вредоносного ПО производилась с ресурса 1dnscontrol. com. Доменное имя 1dnscontrol. com располагает IP 5. 61. 37. 209, говорится в сообщении.

Также специалисты установили, что BadRabbit это измененная версия вируса NotPetya, который поразил IT-системы компаний в нескольких странах в июне.

Код BadRabbit имеет в себя части, полностью повторяющие NotPetya, говорится в сообщении.

Отмечается, что на связь атаки с использованием BadRabbit с предыдущей атакой NotPetya указывают совпадения в коде.

В конторы добавили, что в атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток накопления административного доступа.

Найти преступников возможно

Сачков рассказал, что есть зацепка, чтобы найти злоумышленников.

По его словам, это не так лёгкого понятная преступная группа. Не факт, что именно она связана с этой атакой, но она занималась, в том числе, спамом и фишингом.

В отличие от предыдущих атак, мы уже имеем некий человеческий след и логику, что позволит правоохранительным органам провернуть оперативно-розыскные мероприятия и задержать тех, кто это сделал, добавил Сачков.

Он утверждает, что подобных вирусов может стать больше.

Основной функционал вируса-шифровальщика зашифровать компьютер и потребовать выкуп в 0. 05 биткоинов (это примерно 300 долларов). Частичка кода похожа на вирус Petya, сказал Сачков.

По его словам, жертвами стали пользователь из России, с Украины и еще нескольких странах Европы.

На момент распространения вируса антивирусы его не детектировали. Злоумышленники не дураки когда они что-то запускают, они тестируют микроб на большинстве антивирусных программ. В 2017 году нужно извлекать из этого уроки и уметь себя защищать. Компании, которые извлекли технические уроки после летних атак, почти не пострадали, оформил Сачков.

Это целенаправленная атака

По известным компании, за разблокировку девайсов хакеры предлагают заплатить 0, 5 биткоина (примерно 15700 рублей)

Отмечается, что новая волна вируса-шифровальщика охватила, прежде всего, Россию, зацепил также компании в Турции, Германии и на Украине. В целом, по всему миру зафиксировали почти 200 атак.

Зловред распространяется через ряд зараженных интернет-сайтов российских СМИ, сказал руководитель отдела антивирусных исследований Лаборатории Касперского Вячеслав Закоржевский.

По его мнению, все признаки свидетельствуют на то, что это целенаправленная атака на корпоративные сети.

Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем. Мы продолжаем исследовать ситуацию, привосокупил специалист.

Как защититься

В Group-IB рассказали, как избежать заражения вирусом-шифровальщиком BadRabbit.

После этого даже в случае заражения файлы не будут зашифрованы, говаривается в сообщении компании.

Также специалисты предложили оперативно изолировать компьютеры, указанные в тикетах (события в системе обнаружения вторжений ред. ), если такие будут, а также проверить актуальность и целостность резервных копий ключевых сетевых узлов. Пользователям ПК следует обновить операторные системы и системы безопасности.

Специалисты Group-IB советуют заблокировать ip-адреса и доменные имена, с которых делалось распространение вредоносных файлов; инсталлировать пользователям блокировку всплывающих окон.

В стрекочи парольной политики: настройками комплексный политики запретите хранение паролей в LSA Dump в открытом фасоне. Смените все пароли на сложные, привосокупили в компании.

В свою очередь, Лаборатория Касперского рекомендует использовать обновленные антивирусные базы, а если они не установлены, то эксперты компании советуют запретить исполнение таких файлов, как c:\windows\infpub. dat и c:\windows\cscc. dat с помощью инструментов целого администрирования.

Редактор рубрики

Дмитрий Каприн

Место события на карте мира:

Group-IB: вирус Badrabbit атаковал российские банки из первой двадцатки

комментарии (0)

Другие интересные новости

Михалков назвал ММКФ неангажированным в отличие от других фестивалей