«Кроличья» атака

Вчера во второй половине дня была зафиксирована мощная вспышка атак нового зловреда-шифровальщика BadRabbit. Вредоносное ПО инфицировало и заблокировало системы ряда российских СМИ, включая агентство «Интерфакс» и интернет-газету «Фонтанка», киевского метрополитена, международного аэропорта Одессы, Министерства инфраструктуры Украины. Представители компании Group IB, первой обнаружившей атаку, сообщают также, что зловред пытался проникнуть в системы нескольких крупных российских банков. Кроме того, атаки BadRabbit были зафиксированы в Турции, Германии, Болгарии, Польше и Южной Корее. Тем не менее, львиная доля всех атак (более 60 процентов) приходится именно на российские организации.

Первичным вектором распространения BadRabbit эксперты называют атаку по типу watering hole – взлом злоумышленниками популярных ресурсов и размещение на них вредоносного ПО. В данном случае оно было замаскировано под обновление Flash Player. При его загрузке на компьютер под управлением ОС Windows зловред начинает шифровать все типы файлов, а также повышает уровень собственных привилегий, сканирует систему в поисках сохраненных паролей и использует их для распространения по сети и инфицирования новых устройств. Некоторые исследователи также утверждают, что BadRabbit устанавливал на ряд зараженных устройств еще и кейлоггеры – программы для клавиатурного шпионажа. По окончании процесса шифрования компьютер перезагружается, и на экран выводится сообщение о блокировке с указанием адреса в анонимной сети Tor, где жертва может заплатить 0,05 биткоина (немногим более 280 долларов) за разблокировку. При этом зловред ведет отсчет времени, и если пользователь не торопится выполнить требования вымогателей, цена возрастает.

Эксперты Group IB указывают, что ряд фрагментов кода BadRabbit полностью совпадает с кодом шифровальщика NotPetya, атаки которого в июне нынешнего года причинили серьезный ущерб компаниям во всем мире. На этом основании они делают вывод, что BadRabbit является усовершенствованной вариацией NotPetya. Но эту точку зрения разделяют не все специалисты: скажем, исследователи компании Check Point полагают, что BadRabbit все же является новым и уникальным вредоносным ПО, хотя и имеет некоторое сходство с NotPetya. Нет ясности и в вопросе о том, использует ли зловред эксплойт Eternalblue, похищенный хакерами у АНБ США и задействованный в атаках NotPetya, а еще ранее – WannaCry. Наконец, обращает на себя внимание то, что сообщение о блокировке выводится на экраны инфицированных устройств исключительно на английском языке – при этом ни одну англоговорящую страну атака не затронула. Очевидно, во всех этих вопросах предстоит разбираться специалистам по кибербезопасности.

Пока же атаки BadRabbit остановлены. Исследователи установили домены, послужившие первичным источником распространения зловреда. Они также рекомендуют пользователям создать на своих компьютерах файл C:\windows\infpub.dat с правами «только для чтения». При наличии такого файла в системе шифрование данных не происходит, даже если компьютер инфицирован BadRabbit.