Рейтинг@Mail.ru
Group-IB считает Bad Rabbit модифицированной версией NotPetya - РИА Новости, 03.03.2020
Регистрация пройдена успешно!
Пожалуйста, перейдите по ссылке из письма, отправленного на

Group-IB считает Bad Rabbit модифицированной версией NotPetya

Читать ria.ru в
Дзен

МОСКВА, 25 окт — РИА Новости. Во вторник ряд российских СМИ, а также банки из первой двадцатки атаковал вирус-шифровальщик BadRabbit. О хакерских атаках на свои банковские и информационные системы также сообщили Киевский метрополитен и Одесский аэропорт.

Главный технический директор Группы QIWI Кирилл Ермаков
Кирилл Ермаков: сейчас угроза кибербезопасности – это угроза потери бизнеса
"Group-IB зафиксировала попытки заражения вирусом инфраструктур ряда российских банков, которые используют систему обнаружения вторжений компании.

Эти файлы приходили туда во вторник с 13:00 до 15:00 мск. То есть на банки этот вирус тоже пытались распространить", — сказал генеральный директор компании Group-IB, занимающейся предотвращением и расследованием киберпреступлений, Илья Сачков.

По его словам, банки лучше защищены от кибератак, чем компании небанковского сектора.

Также Group-IB зафиксировала атаки на несколько российских СМИ: известно как минимум о трех пострадавших редакциях.

В компании добавили, что следят за развитием событий и позднее сообщат о технических подробностях инцидентов.

"Судя по всему, мы столкнулись с новой эпидемией. Жертвой вируса-шифровальщика стали не только российские СМИ, но и ряд госучреждений и стратегических объектов на Украине", — сообщила Group-IB в своем Telegram-канале.

Представители "Мегафона", Tele2 и "Вымпелкома" (бренд "Билайн") сообщили, что работают в штатном режиме.

Улучшенная версия NotPetya

Group-IB утверждает, что атака готовилась несколько дней: один из скриптов обновлялся 19 октября.

Глобальная атака вируса-вымогателя. Архивное фото
Андрей Суворов: хакерам не надо красть со счетов, они блокируют предприятия
Сообщается, что IP домена, раздававшего вирусы, связан с пятью ресурсами, на владельцев которых зарегистрированы множество других сайтов, в том числе фарм-партнерок.

"Расследование показало, что раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209", — говорится в сообщении.

Также специалисты установили, что BadRabbit — это модифицированная версия вируса NotPetya, который поразил IT-системы компаний в нескольких странах в июне.

"Код BadRabbit включает в себя части, полностью повторяющие NotPetya", — говорится в сообщении.

Отмечается, что на связь атаки с использованием BadRabbit с предыдущей атакой NotPetya указывают совпадения в коде.

В компании добавили, что в атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа.

Найти преступников возможно

Сачков рассказал, что есть зацепка, чтобы найти злоумышленников.

Глобальная атака вируса-вымогателя поразила IT-системы компаний в нескольких странах мира
Бесчинства "Пети" на Украине: банки, СМИ и энергетика на грани коллапса
"Можно установить, кто совершил атаку. Доменное имя было зарегистрировано еще в 2016 году, кто-то его оплачивает, с ним связано еще несколько вредоносных доменов. Люди, которые их создавали, действовали еще с 2011 года", — отметил он.

По его словам, это довольно понятная преступная группа. "Не факт, что именно она связана с этой атакой, но она занималась, в том числе, спамом и фишингом.

В отличие от предыдущих атак, мы уже имеем некий человеческий след и логику, что позволит правоохранительным органам провести оперативно-розыскные мероприятия и задержать тех, кто это сделал", — добавил Сачков.

Он утверждает, что подобных вирусов может стать больше.

"Основной функционал вируса-шифровальщика — зашифровать компьютер и потребовать выкуп в 0.05 биткоинов (это примерно 300 долларов). Частичка кода похожа на вирус Petya", — сказал Сачков.

По его словам, жертвами стали пользователь из России, с Украины и еще нескольких странах Европы.

"На момент распространения вируса антивирусы его не детектировали. Злоумышленники не дураки — когда они что-то запускают, они тестируют вирус на большинстве антивирусных программ. В 2017 году нужно извлекать из этого уроки и уметь себя защищать. Компании, которые извлекли технические уроки после летних атак, почти не пострадали", — заключил Сачков.

"Это целенаправленная атака"

Зампред правления Сбербанка Станислав Кузнецов
Станислав Кузнецов: выводы после вируса Wannacry надо делать серьезные
В компании "Лаборатория Касперского" прокомментировали хакерскую атаку, произошедшую во вторник. Сообщается, что название Bad Rabbit фигурирует на странице в даркнете, на которую создатели вируса отправляют за информацией.

По данным компании, за разблокировку девайсов хакеры предлагают заплатить 0,5 биткоина (примерно 15700 рублей)

Отмечается, что новая волна вируса-шифровальщика охватила, прежде всего, Россию, затронув также компании в Турции, Германии и на Украине. В целом, по всему миру зафиксировали почти 200 атак.

"Зловред" распространяется через ряд зараженных сайтов российских СМИ", — сказал руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.

По его мнению, все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

"Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем. Мы продолжаем исследовать ситуацию", — добавил специалист.

Как защититься

В Group-IB рассказали, как избежать заражения вирусом-шифровальщиком BadRabbit.

Хакер за компьютером
"Мы уязвимы": в США ощущают бессилие перед "компьютерным Перл-Харбором"
По словам экспертов, надо создать файл C:\windows\infpub.dat и поставить ему права "только для чтения".

"После этого даже в случае заражения файлы не будут зашифрованы", — говорится в сообщении компании.

Также специалисты посоветовали оперативно изолировать компьютеры, указанные в тикетах (события в системе обнаружения вторжений — ред.), если такие будут, а также проверить актуальность и целостность резервных копий ключевых сетевых узлов. Пользователям ПК следует обновить операционные системы и системы безопасности.

Специалисты Group-IB советуют заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов; поставить пользователям блокировку всплывающих окон.

"В части парольной политики: настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде. Смените все пароли на сложные", — добавили в компании.

В свою очередь, "Лаборатория Касперского" рекомендует использовать обновленные антивирусные базы, а если они не установлены, то эксперты компании советуют запретить исполнение таких файлов, как c:\windows\infpub.dat и c:\windows\cscc.dat с помощью инструментов системного администрирования.

 
 
 
Лента новостей
0
Сначала новыеСначала старые
loader
Онлайн
Заголовок открываемого материала
Чтобы участвовать в дискуссии,
авторизуйтесь или зарегистрируйтесь
loader
Обсуждения
Заголовок открываемого материала