Проверка на прочность: зачем создатели вируса BadRabbit атаковали СМИ и банки

Вирус-шифровальщик Bad Rabbit, атаке которого накануне подверглись российские СМИ, пытался атаковать и российские банки из топ-20, рассказали Forbes в Group-IB, которая занимается расследованием и предотвращением киберпреступлений. Уточнить подробности об атаках на кредитные организации представитель компании отказался, пояснив, что Group-IB не раскрывает информацию о клиентах, использующих ее систему обнаружения вторжений.
 
По данным специалистов по кибербезопасности, попытки заражения вирусом инфраструктур российских банков происходили 24 октября с 13:00 до 15:00 мск. В Group-IB считают, что кибератаки продемонстрировали более качественную защиту банков по сравнению с компаниями небанковского сектора. Ранее в компании сообщили, что новый вирус-шифровальщик, вероятно, связанный с июньской эпидемией шифровальщика NotPetya (на это указывают совпадения в коде), атаковал российские СМИ. Речь шла об информационных системах агентства «Интерфакс», а также серверах петербургского новостного портала «Фонтанка». Кроме того, вирус ударил по системам Киевского метрополитена, министерства инфраструктуры Украины, Международного аэропорта «Одесса». NotPetya летом поразил энергетические, телекоммуникационные и финансовые компании преимущественно на Украине. За расшифровку файлов, зараженных вирусом BadRabbit, злоумышленники требуют 0,05 биткойна, что по текущему курсу примерно эквивалентно $283 или 15 700 рублям.

В «Лаборатории Касперского» уточнили, что в этот раз большинство жертв хакеры выбрали в России. Однако похожие атаки в компании зафиксировали на Украине, Турции и Германии, но «в значительно меньшем количестве». «Все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем», — сообщил представитель компании. Собеседник Forbes добавил, что все продукты «Лаборатории Касперского» «детектируют эти вредоносные файлы как UDS:DangerousObject.Multi.Generic».

Как защититься?

В целях защиты от этой атаки в «Лаборатории Касперского» рекомендовали использовать антивирус с включенным KSN и модулем «Мониторинг системы». «Если не установлено защитное решение «Лаборатории Касперского», мы рекомендуем запретить исполнение файлов с названиями c:\windows\infpub.dat и  C:\Windows\cscc.dat с помощью инструментов системного администрирования», — посоветовал руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский.

В Group-IB отмечают, чтобы вирус не смог зашифровать файлы, «необходимо создать файл C:\windows\infpub.dat и поставить ему права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы, говорится в сообщении компании. В то же время нужно оперативно изолировать компьютеры, которые были замечены в пересылке подобных вредоносных файлов, чтобы избежать масштабного заражения других компьютеров, подключенных к сети. После этого пользователям необходимо убедиться в актуальности и целостности резервных копий ключевых сетевых узлов.

Когда первичные действия выполнены, пользователю советуют обновить операционные системы и системы безопасности, параллельно заблокировав IP-адреса и доменные имена, с которых происходило распространение вредоносных файлов. Group-IB рекомендует сменить все пароли на более сложные и поставить блокировку всплывающих окон, а также запретить хранение паролей в LSA Dump в открытом виде.

Кто стоит за атакой BadRabbit

В 2017 году уже было зафиксировано две крупнейших эпидемии шифровальщиков — WannaCry (атаковал 200 000 компьютеров в 150 странах мира) и ExPetr. Последний — Petya и одновременно NotPetya, отмечают в «Лаборатории Касперского». Теперь, по мнению компании, «начинается третья». Имя нового вируса-шифровальщика Bad Rabbit «написано на странице в даркнете, на которую его создатели отправляют за выяснением деталей», уточняют в компании. В Group-IB полагают, что Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. В частности, код Bad Rabbit включает в себя блоки, полностью повторяющие NotPetya. 

В ESET Russia соглашаются, что использовавшееся в атаке вредоносное ПО «Win32/Diskcoder.D» – модифицированная версия «Win32/Diskcoder.C», более известного как Petya/NotPetya. Как уточнил Виталий Земских, руководитель поддержки продаж ESET Russia, в беседе с Forbes, статистика атак по странам «в значительной степени соответствует географическому распределению сайтов, содержащих вредоносный JavaScript». Таким образом, большая часть заражений пришлась на Россию (65%), следом идут Украина (12,2%), Болгария (10,2%), Турция (6,4%) и Япония (3,8%).

Заражение вирусом Bad Rabbit происходило после захода на взломанные сайты. На скомпрометированные ресурсы в HTML-код хакеры загрузили JavaScript-инжект, который показывал посетителям поддельное окно, предлагающее установить обновление Adobe Flash плеера. Если пользователь соглашался на обновление, то на компьютер устанавливался вредоносный файл с именем «install_flash_player.exe». «Заразив рабочую станцию в организации, шифратор может распространяться внутри корпоративной сети через протокол SMB. В отличие от своего предшественника Petya/NotPetya, Bad Rabbit не использует эксплойт EthernalBlue – вместо этого он сканирует сеть на предмет открытых сетевых ресурсов», — говорит Земских. Следом на зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Кроме того, предусмотрен жестко закодированный список логинов и паролей.

Информации о том, кто организовал хакерские атаки пока нет. В то же время, по мнению Group-IB, похожие по характеру массовые атаки WannaCry и NotPetya могли быть связаны с хакерскими группировками, финансируемыми государствами. Специалисты делают такой вывод на основании того, что финансовая выгода от подобных атак в сравнении со сложностью их проведения «ничтожна». «Скорее всего это были не попытки заработать, а проверить уровень защиты сетей критической инфраструктуры предприятий, госведомств и частных компаний», — заключают эксперты. Представитель Group-IB подтвердил Forbes, что последний вирус — Bad Rabbit – может оказаться проверкой защиты инфраструктур госведомств и бизнеса. «Да, это не исключено. Учитывая, что атаки велись точечно — по объектам критической инфраструктуры — аэропорт, метрополитен, госучреждения», — поясняет собеседник Forbes.

Отвечая на вопрос о виновных в последней атаке, в ESET Russia подчеркивают, что используя только инструменты антивирусной компании, провести качественное расследование и установить причастных невозможно, это задача специалистов другого профиля. «Мы как антивирусная компания выявляем методы и цели атак, вредоносные инструменты атакующих, уязвимости и эксплойты. Поиск виновных, их мотивов, государственной принадлежности и прочее – не наша сфера ответственности», — заявил представитель компании, пообещав сделать выводы о назначении Bad Rabbit по итогам расследования. «К сожалению, в ближайшей перспективе мы увидим немало подобных инцидентов – вектор и сценарий данной атаки показали высокую эффективность», — делают прогнозы в ESET Russia. Собеседник Forbes напоминает, что на 2017 год компания прогнозировала рост числа целевых атак на корпоративный сектор, прежде всего, на финансовые организации (более чем на 50%, по предварительным оценкам). «В настоящее время эти прогнозы сбываются, мы наблюдаем рост числа атак в сочетании с увеличением ущерба пострадавших компаний», — признает он.