menu
menu
logo

«Кроличья» атака

Вчера во второй половине дня была зафиксирована мощная вспышка атак нового зловреда-шифровальщика BadRabbit. Вредоносное ПО инфицировало и заблокировало системы ряда российских СМИ, включая агентство «Интерфакс» и интернет-газету «Фонтанка», киевского метрополитена, международного аэропорта Одессы, Министерства инфраструктуры Украины. Представители компании Group IB, первой обнаружившей атаку, сообщают также, что зловред пытался проникнуть в системы нескольких крупных российских банков. Кроме того, атаки BadRabbit были зафиксированы в Турции, Германии, Болгарии, Польше и Южной Корее. Тем не менее, львиная доля всех атак (более 60 процентов) приходится именно на российские организации.

Первичным вектором распространения BadRabbit эксперты называют атаку по типу watering hole – взлом злоумышленниками популярных ресурсов и размещение на них вредоносного ПО. В данном случае оно было замаскировано под обновление Flash Player. При его загрузке на компьютер под управлением ОС Windows зловред начинает шифровать все типы файлов, а также повышает уровень собственных привилегий, сканирует систему в поисках сохраненных паролей и использует их для распространения по сети и инфицирования новых устройств. Некоторые исследователи также утверждают, что BadRabbit устанавливал на ряд зараженных устройств еще и кейлоггеры – программы для клавиатурного шпионажа. По окончании процесса шифрования компьютер перезагружается, и на экран выводится сообщение о блокировке с указанием адреса в анонимной сети Tor, где жертва может заплатить 0,05 биткоина (немногим более 280 долларов) за разблокировку. При этом зловред ведет отсчет времени, и если пользователь не торопится выполнить требования вымогателей, цена возрастает.

Эксперты Group IB указывают, что ряд фрагментов кода BadRabbit полностью совпадает с кодом шифровальщика NotPetya, атаки которого в июне нынешнего года причинили серьезный ущерб компаниям во всем мире. На этом основании они делают вывод, что BadRabbit является усовершенствованной вариацией NotPetya. Но эту точку зрения разделяют не все специалисты: скажем, исследователи компании Check Point полагают, что BadRabbit все же является новым и уникальным вредоносным ПО, хотя и имеет некоторое сходство с NotPetya. Нет ясности и в вопросе о том, использует ли зловред эксплойт Eternalblue, похищенный хакерами у АНБ США и задействованный в атаках NotPetya, а еще ранее – WannaCry. Наконец, обращает на себя внимание то, что сообщение о блокировке выводится на экраны инфицированных устройств исключительно на английском языке – при этом ни одну англоговорящую страну атака не затронула. Очевидно, во всех этих вопросах предстоит разбираться специалистам по кибербезопасности.

Пока же атаки BadRabbit остановлены. Исследователи установили домены, послужившие первичным источником распространения зловреда. Они также рекомендуют пользователям создать на своих компьютерах файл C:\windows\infpub.dat с правами «только для чтения». При наличии такого файла в системе шифрование данных не происходит, даже если компьютер инфицирован BadRabbit.

RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте