Компания Group-IB заявила о том, что вирус Bad Rabbit, который распространился 24 октября по России и Украине, должен был проникнуть в системы крупных российских банков из топ-20.
Глава Group-IB Илья Сачков рассказал ТАСС, что зараженные файлы поступали в компьютерную инфраструктуру банков в период с 13:00 до 15:00 по московскому времени. Сачков добавил, что среди потенциальных жертв могли оказаться крупнейшие банки России, но не сказал какие именно.
Кроме того, эксперт добавил, что этот случай наглядно показывает, что у банков гораздо более совершенная защита от возможных кибератак, чем у компаний из других отраслей.
Родственник Пети
Эпидемия вируса Bad Rabbit началась 24 октября после полудня. На хакерскую атаку последовательно пожаловались метрополитен Киева, одесский аэропорт, новостное агентство «Интерфакс» и интернет-издание «Фонтанка.ру».
На экранах зараженных компьютеров появлялось сообщение от злоумышленников — они заявляли о блокировке всех пользовательских файлов, которые можно было спасти, если заплатить хакерам выкуп. Мошенники требовали сумму в биткоинах, эквивалентную $280. Кроме того, зловред запускал счетчик, по истечению которого сумма выкупа начинала расти.
По данным Group-IB, кибератака была тщательно спланирована и готовилась на протяжении нескольких дней.
В частности, один из java-скриптов, участвующих в заражении, последний раз обновлялся еще 19 октября, то есть за пять дней до эпидемии.
Компании также удалось установить домен, с которого началось заражение. «Происходила загрузка вредоносного программного обеспечения с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209. Доменное имя 1dnscontrol.com зарегистрировано 22 марта 2016 года и до сих пор пролонгируется», — говорится в сообщении Group-IB.
«Газета.Ru» связалась с разработчиком антивирусного программного обеспечения ESET. Представители компании заявили, что в атаке использовалось вредоносное программное обеспечение Diskcoder.D, которое является модификацией вируса-шифратора Not.Petya — именно он использовался при кибератаке на украинские компании в июне 2017 года.
В ESET заявили о «сотнях атак» с помощью Diskcoder.D, от которых пострадали Россия, Украина, Турция, Болгария и некоторые другие страны.
Кроме того, в вирусе предусмотрен жестко закодированный список учетных данных.
В Group-IB тоже подтвердили «родственную» связь Bad Rabbit и Not.Petya. Специалисты сообщают о модифицированной версии вируса, в которой были исправлены ошибки алгоритма шифрования.
Как не стать жертвой кролика
Несмотря на то, что эпидемия пошла на спад, эксперты по информационной безопасности предложили несколько советов, чтобы защититься от атаки Bad Rabbit. Прежде всего, уже обнаружен так называемый kill switch — то есть «экстренный выключатель» для вируса. Для этого необходимо создать в системе файл C:\windows\infpub.dat и предоставить ему права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы.
Кроме того, рекомендуется обновить операционную систему и системы безопасности, а также заблокировать IP-адреса, с которых происходило распространение зараженных файлов.
Не будет лишним заменить пароли на более сложные, а также заблокировать всплывающие окна.
На момент публикации заметки сайт агентства «Интерфакс», которое одним из первых пожаловалось на хакерскую атаку, по-прежнему недоступен и не загружает отдельные страницы.
Пострадавшая от тех же киберпреступников петербургская интернет-газета «Фонтанка» уже вернулась к работе в штатном режиме и опубликовала заметку, в которой называет атаку на сервера издания местью за некоторые свои публикации.
Служба безопасности Украины также отчиталась о блокировке распространения угрозы в ночь с 24 на 25 октября.
«Сотрудники Службы безопасности Украины оперативно проанализировали и блокировали новые случаи поражения компьютеров отечественного сегмента сети интернет вредоносным программным обеспечением», — говорится в сообщении пресс-службы ведомства.
Как заявил представитель СБУ, опасный вирус Bad Rabbit рассылался с помощью электронной почты и таким образом проник в компьютеры местных объектов транспортной инфраструктуры. Украинские спецслужбы не исключили новой волны кибератак.