Дата
25.10.2017
Автор
Григорий Левченко
Источник
Republic (ex. Slon.ru)
Сохранённая копия
Internet Archive
Original Material

Вирусы-шифровальщики стали обыденностью. Кого и как атаковал BadRabbit


Днем 24 октября начали появляться сообщения о появлении нового вируса BadRabbit, атаковавшего крупные российские СМИ с требованиями выплаты выкупа за дешифрацию зараженных файлов. По состоянию на 25 октября основная волна распространения вируса уже завершилась. Republic вкратце рассказывает, кого затронула атака и что из себя представляет вирус.

Основными жертвами вируса стали сайты в России и на Украине. В России атаке подверглись сайты крупных СМИ, таких как «Интерфакс» и «Фонтанка», петербургская версия «Новой газеты», на Украине – сети Киевского метрополитена, Министерства инфраструктуры и аэропорта Одессы. Отдельные сообщения о заражении поступали также из Турции и Германии.

Вирус пытался атаковать российские банки. В числе кредитных организаций были и банки из топ-20. Атака на них не удалась; специалисты связывают это с более качественной защитой банков от кибератак. «Банки как боксер, который больше дерется, – у него лучше практика, и, соответственно, он сильнее», – заявили в специализирующейся на предотвращении киберпреступлений компании Group-IB.

BadRabbit является так называемым вирусом-шифровальщиком. При заражении такие вирусы шифруют информацию в файлах, делая их открытие невозможным. Затем пострадавшему предлагается купить ключ для дешифровки – в случае с BadRabbit злоумышленники требуют за ключ 0,5 биткоина (около 14 тысяч рублей). При этом гарантий, что после оплаты ключ будет предоставлен, нет никаких.

Зараженный BadRabbit компьютер

Group-IB

Заражение BadRabbit происходило после захода на взломанные сайты. В их HTML-код был загружен JavaScript-инжект, который в поддельном окне предлагал установить обновление Adobe Flash. Когда пользователь соглашался, на его компьютер скачивался вредоносный файл с именем install_flash_player.exe.

Крупные заражения сетей шифровальщиками происходят все чаще. По данным специалистов Group-IB, в 2016 году количество атак увеличилось в сто раз по сравнению с предыдущим годом. В 2017 году благодаря использованию инструментов из утечек АНБ киберпреступники еще более улучшили механизмы распространения, что привело к крупнейшим международным атакам, наиболее масштабными из которых оказались WannaCry и NotPetya. BadRabbit, как установили специалисты, по сути, является модернизированной версией последнего.

Кто стоит за атакой BadRabbit, пока неясно. Атаки WannaCry и NotPetya, предположительно, могли быть организованы группировками, поддерживаемыми и финансируемыми государствами. Специалисты делают такой вывод на основании того, что финансовая выгода от подобных атак в сравнении со сложностью их проведения крайне мала.