Компания Group-IB, специализирующаяся на предотвращении и расследовании преступлений с использованием высоких технологий, сообщает, что вчерашняя хакерская атака на российские СМИ, есть ни что иное, как новая масштабная кибератака с использованием вируса-шифровальщика BadRabbit.
24 октября вирус-шифровальщик BadRabbit атаковал компьютеры и серверы Киевского метрополитена, Министерства инфраструктуры, Международного аэропорта «Одесса». Кроме упомянутых выше редакций российских федеральных СМИ, также были зафиксированы факты попыток заражений банковских инфраструктур. Совпадения в коде указывают на связь атаки с использованием Bad Rabbit с июньской эпидемией шифровальщика Petya, поразившего энергетические, телекоммуникационные и финансовые компании.
Специалистами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика с взломанных интернет-ресурсов, среди которых были украинские и российские сайты. На скомпрометированные ресурсы в HTML-код атакующими был загружен JavaScript-инжект, который демонстрировал посетителям поддельное окно, предлагающее установить обновление Adobe Flash плеера. Если он соглашался на обновление, после клика происходило скачивание и запуск вредоносного файла с именем install_flash_player.exe (FBBDC39AF1139AEBBA4DA004475E8839 — MD5 хеш), а также заражение хоста. Шифрование производится с помощью DiskCryptor.
После заражения на экране компьютера появляется алгоритм возобновления доступа к зашифрованной информации, там также указывается индивидуальный код и адрес сайта в сети Tor: caforssztxqzf2nm.onion, на котором запускается автоматический счетчик. На сайте необходимо ввести персональный ключ, после чего появится биткоин-кошелек. Злоумышленники требуют перевести 0,05 биткойна (по текущему курсу это около 283 долларов США). Также, на странице сайта идет отсчет времени до увеличения стоимости выкупа:
Чтобы препятствовать шифрованию данных, нужно создать на компьютере файл «C:windowsinfpub.dat» и ограничить его режимом «только для чтения». Такая мера поможет предотвратить шифрование файлов, даже если компьютер будет заражен Bad Rabbit.
Так же рекомендуется проверить актуальность и целостность резервных копий ключевых сетевых узлов, обновить операционные системы и системы безопасности и сменить все пароли на более сложные, а также включить блокировку всплывающих окон. А также запретить хранение паролей в LSA Dump в открытом виде и выполнение следующих задач: viserion_, rhaegal, drogon.