МОСКВА, 25 окт — РИА Новости. Во вторник ряд российских СМИ, а также банки из первой двадцатки атаковал вирус-шифровальщик BadRabbit. О хакерских атаках на свои банковские и информационные системы также сообщили Киевский метрополитен и Одесский аэропорт.
Эти файлы приходили туда во вторник с 13:00 до 15:00 мск. То есть на банки этот вирус тоже пытались распространить", — сказал генеральный директор компании Group-IB, занимающейся предотвращением и расследованием киберпреступлений, Илья Сачков.
По его словам, банки лучше защищены от кибератак, чем компании небанковского сектора.
Также Group-IB зафиксировала атаки на несколько российских СМИ: известно как минимум о трех пострадавших редакциях.
В компании добавили, что следят за развитием событий и позднее сообщат о технических подробностях инцидентов.
"Судя по всему, мы столкнулись с новой эпидемией. Жертвой вируса-шифровальщика стали не только российские СМИ, но и ряд госучреждений и стратегических объектов на Украине", — сообщила Group-IB в своем Telegram-канале.
Улучшенная версия NotPetya
Group-IB утверждает, что атака готовилась несколько дней: один из скриптов обновлялся 19 октября.
"Расследование показало, что раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209", — говорится в сообщении.
Также специалисты установили, что BadRabbit — это модифицированная версия вируса NotPetya, который поразил IT-системы компаний в нескольких странах в июне.
"Код BadRabbit включает в себя части, полностью повторяющие NotPetya", — говорится в сообщении.
Отмечается, что на связь атаки с использованием BadRabbit с предыдущей атакой NotPetya указывают совпадения в коде.
В компании добавили, что в атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа.
Найти преступников возможно
Сачков рассказал, что есть зацепка, чтобы найти злоумышленников.
По его словам, это довольно понятная преступная группа. "Не факт, что именно она связана с этой атакой, но она занималась, в том числе, спамом и фишингом.
В отличие от предыдущих атак, мы уже имеем некий человеческий след и логику, что позволит правоохранительным органам провести оперативно-розыскные мероприятия и задержать тех, кто это сделал", — добавил Сачков.
Он утверждает, что подобных вирусов может стать больше.
"Основной функционал вируса-шифровальщика — зашифровать компьютер и потребовать выкуп в 0.05 биткоинов (это примерно 300 долларов). Частичка кода похожа на вирус Petya", — сказал Сачков.
По его словам, жертвами стали пользователь из России, с Украины и еще нескольких странах Европы.
"На момент распространения вируса антивирусы его не детектировали. Злоумышленники не дураки — когда они что-то запускают, они тестируют вирус на большинстве антивирусных программ. В 2017 году нужно извлекать из этого уроки и уметь себя защищать. Компании, которые извлекли технические уроки после летних атак, почти не пострадали", — заключил Сачков.
"Это целенаправленная атака"
По данным компании, за разблокировку девайсов хакеры предлагают заплатить 0,5 биткоина (примерно 15700 рублей)
Отмечается, что новая волна вируса-шифровальщика охватила, прежде всего, Россию, затронув также компании в Турции, Германии и на Украине. В целом, по всему миру зафиксировали почти 200 атак.
"Зловред" распространяется через ряд зараженных сайтов российских СМИ", — сказал руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.
По его мнению, все признаки указывают на то, что это целенаправленная атака на корпоративные сети.
"Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем. Мы продолжаем исследовать ситуацию", — добавил специалист.
Как защититься
В Group-IB рассказали, как избежать заражения вирусом-шифровальщиком BadRabbit.
"После этого даже в случае заражения файлы не будут зашифрованы", — говорится в сообщении компании.
Также специалисты посоветовали оперативно изолировать компьютеры, указанные в тикетах (события в системе обнаружения вторжений — ред.), если такие будут, а также проверить актуальность и целостность резервных копий ключевых сетевых узлов. Пользователям ПК следует обновить операционные системы и системы безопасности.
Специалисты Group-IB советуют заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов; поставить пользователям блокировку всплывающих окон.
"В части парольной политики: настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде. Смените все пароли на сложные", — добавили в компании.
В свою очередь, "Лаборатория Касперского" рекомендует использовать обновленные антивирусные базы, а если они не установлены, то эксперты компании советуют запретить исполнение таких файлов, как c:\windows\infpub.dat и c:\windows\cscc.dat с помощью инструментов системного администрирования.
