Bad Rabbit: десять вещей, которые вам нужно знать о последнем вирусе-вымогателе

Новый вирус вымогательства «Bad Rabbit» поразил ряд высокопрофильных целей в России и Восточной Европе.

Вымогатели впервые начали заражать системы во вторник, 24 октября. По урону эта атака была приравнена с эпидемиями WannaCry и Petya в этом году.

После первоначальной вспышки возникла некоторая путаница в отношении того, что такое Плохой Кролик, но теперь начальная паника утихла, можно копаться в том, что именно происходит.

1. Кибер-атака ударила по организациям России и Восточной Европы

Организации по всей России и Украине, а также небольшое число в Германии и Турции стали жертвами вируса. Исследователи Avast говорят, что они также обнаружили угрозу в Польше и Южной Корее.

Российская группа кибербезопасности Group-IB подтвердила, что по меньшей мере три медиа-организации в стране пострадали от вредоносного ПО, а в то же время российское информационное агентство «Интерфакс» сообщило, что на его системы повлияла «хакерская атака».

Другие организации в регионе, в том числе Одесский международный аэропорт и Киевский метрополитен, также выступили с заявлениями, что они подверглись кибератаке. В это же время CERT-UA-команда Computer Emergency Response of Ukraine, также опубликовала заявление о том, что «возможно начало новой волны кибератак к информационным ресурсам Украины».

На момент написания статьи было установлено, что существует почти 200 зараженных целей и показано, что это не атака, как WannaCry или Petya, но она все еще вызывает проблемы для зараженных организаций.

«Общая распространенность известных образцов довольно низкая по сравнению с другими распространенными штаммами», — сказал Якуб Крустек, аналитик Malware Analyst в Avast.

2. Это определенно вирус вымогатель

После заражения на экранах жертвы появлялось сообщение, что все файлы «больше не доступны» и «никто не сможет их восстановить без нашего дешифрования» с требованием выкупа.

bad-rabbit
Изображение: ESET

Жертв направляли на страницу оплаты с таймером обратного отсчета. Срок на оплату давался 40 часов, а заплатить нужно 0.05 биткоинов (примерно 285$). Если не оплатить в течении отведенного времени, то цена может увеличиться.




Изображение: Лаборатория Касперского

Шифрование использует DiskCryptor, скрипт с открытым исходным кодом и программное обеспечение, используемое для шифрования полного диска. Ключи генерируются с использованием CryptGenRandom, а затем защищены жестко закодированным открытым ключом RSA 2048.

3. Вирус основан на вымогателе «Петя»

Анализ исследователями Crowdstrike показал, что DLL (библиотека динамической компоновки) BadRabbit и Petya составляет 67% одного и того же кода, указывая на то, что два варианта вымогателей тесно связаны, возможно, даже с работой одного и того же человека (или группы людей).

4. Вирус Bad Rabbit распространяется через фальшивое обновление Flash на зараженных сайтах

Основной путь распространения «Плохого кролика» был идентифицирован через загружаемые файлы на взломанных сайтах. Никаких эксплойтов не используется, скорее всего, посетителям уязвимых сайтов сообщается, что им нужно установить обновление Flash. Конечно, это не обновление Flash, а замаскированный вирус.

Изображение: ESET

Зараженные сайты, в основном основанные в России, Болгарии и Турции, взломаны так, что вредоносный JavaScript был введен в их тело HTML или в один из их .js-файлов.

5. «Кролик» может распространяться по локальной сети

Как и Petya,Bad Rabbit содержит компонент SMB, который позволяет ему распространяться в локальной сети без взаимодействия с пользователем, говорят исследователи из Cisco Talos.

6. … Но он не использует EternalBlue

Когда появился Bad Rabbit, некоторые предположили, что, подобно WannaCry, он использовал эксплойт EternalBlue для распространения. Однако сейчас это не так.

«В настоящее время у нас нет доказательств того, что эксплойт EternalBlue используется для распространения инфекции», — сказал ZDNet Мартин Ли, технический специалист по исследованиям в области безопасности в Talos.

7. Он может быть недискриминационным





На этом этапе после вспышки WannaCry сотни тысяч систем по всему миру стали жертвами выкупа. Тем не менее, «Плохой кролик», по-видимому, не заражает цели без разбора, а исследователи предположили, что он заражает только выбранные цели.

«Наши наблюдения показывают, что это была целенаправленная атака на корпоративные сети», — сказали исследователи «Лаборатории Касперского».

Между тем, исследователи из ESET говорят, что инструкции в сценарии, введенные на зараженные сайты, «могут определять, интересует ли посетитель, а затем добавлять контент на страницу», если цель считается подходящей для заражения.

Однако на данном этапе нет очевидной причины, по которой медиа-организации и инфраструктура в России и Украине были специально нацелены на эту атаку.

8. Непонятно, кто стоит за ним

В настоящее время неизвестно, кто распространяет вымогателя или почему, но сходство с Петей побудило некоторых исследователей предположить, что Bad Rabbit принадлежит одной и той же группе хакеров — хотя это не помогает идентифицировать атакующего или мотив, потому что исполнитель июньской эпидемии никогда не был идентифицирован.

9. Вирус содержит ссылки на «Игры Престолов»

Кто бы ни стоял за «Плохим кроликом», они, похоже, являются поклонниками «Игры Престолов»: в этом коде содержатся ссылки на «Визерион», «Дрогон» и «Рагаль», драконов, снятые в сериале.

Изображение: Лаборатория Касперского

10. Вы можете защитить себя от заражения им

На этом этапе неизвестно, можно ли расшифровать файлы, заблокированные Bad Rabbit, без предоставления и выплаты выкупа — хотя исследователи говорят, что те, кто стал жертвой, не должны платить, так как это будет стимулировать рост выкупа.

Ряд поставщиков безопасности говорят, что их продукты защищают от Bad Rabbit. Но для тех, кто хочет быть уверенным, что они потенциально не становятся жертвами атаки, «Лаборатория Касперского» заявляет, что пользователи могут заблокировать выполнение файла «c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat» для предотвращения инфекции.