Российские СМИ атаковал вирус-шифровальщик Bad Rabbit.

[Adm]

Российские СМИ атаковал вирус-шифровальщик Bad Rabbit.

Российское информационное агентство Интерфакс и онлайн-издание «Фонтанка» стали жертвами кибератаки, сообщают эксперты.



«Зафиксирована атака на СМИ вирусом-шифровальщиком. Group-IB стало известно как минимум о трех пострадавших редакциях», — говорится в сообщении на сайте российской компании Group-IB, которая специализируется на расследовании киберпреступлений.

Вирус назвали Bad Rabbit. Он не похож на вирусы-шифровальщики Petya и WannaCry, которые блокировали десятки тысяч компьютеров по всему миру весной и летом этого года.

«Возможно он использует другую уязвимость и способ доставки», — сказал агентству RNS глава Group-IB Илья Сачков.

Ранее во вторник об атаке со стороны хакеров сообщили агентство Интерфакс и издание «Фонтанка».

«Из-за хакерской атаки в работе серверов Интерфакса возник сбой. Технические службы предпринимают все меры для восстановления работы систем», — говорилось в заявлении Интерфакса в «Твиттере». Замдиректора агентства Юрий Погорелый назвал вирусную атаку беспрецедентной.

На момент публикации заметки не работали ни сайт Интерфакса, ни платные ленты для подписчиков. Нельзя было также зайти на базу данных СПАРК.

За разблокировку компьютеров Интерфакса хакеры потребовали выкуп в биткоинах, сообщили источники издания РБК. В пресс-службе агентства не подтверждали эту информацию.

Как пишет РБК, сотрудники Интерфакса опубликовали в социальных сетях фотографии экранов своих рабочих компьютеров, на которых виден текст требования хакеров о выкупе в биткоинах. Также указано название вируса — Bad Rabbit («плохой кролик»).

По данным РБК, за разблокировку каждого компьютера хакеры требуют заплатить 0,05 биткоина, то есть примерно 16 тыс. рублей или 280 долларов. «Суть в том, что вирус запустили на сервер. А все компы, соответственно, к нему подключены. Поэтому заразиться мог любой», — посетовал собеседник РБК.

Два сотрудника Интерфакса подтвердили газете «Ведомости», что экраны компьютеров оказались заблокированы. Вирус предупреждает, что не стоит пытаться самостоятельно расшифровать файлы и требует заплатить выкуп, пишет издание. Его источники подтверждают требуемую сумму выкупа — 0,05 биткоина.

Пострадала лишь часть Интерфакса — IT-службы успели отключить часть критичной инфраструктуры, уточняют «Ведомости». Продолжают работать подразделения агентства в Британии, Азербайджане, Белоруссии, Украине, а также сайт «Интерфакс-религия», сказал изданию Юрий Погорелый. Пока непонятно, по какой причине повреждения не коснулись других подразделений, говорит замдиректора Интерфакса.

В «Фонтанке» сообщили, что у редакции возникли «серьезные технические проблемы».

В 2017 году произошло два всплеска хакерских атак с использованием вирусов-вымогателей, которые затронули разные страны мира. 12 мая специалисты зафиксировали вирус WannaCry, а 27 июня — еще один. Компании Group-IB и Positive Technologies назвали его разновидностью вируса Petya 2016 года.

В июне распространение вируса началось с Украины. Пострадали аэропорт «Борисполь», некоторые региональные подразделения «Укрэнерго», сети магазинов, банки, СМИ и телекоммуникационные компании. Отключились компьютеры и в правительстве Украины.

В этот раз вскоре после сообщений об атаках на российские Интерфакс и «Фонтанку», а также третью редакцию, название которой в Group-IB не назвали, стало известно, что хакеры атаковали метрополитен Киева и аэропорт Одессы. Об этом сообщили пресс-службы этих организаций.

Российские СМИ атаковал вирус-шифровальщик Bad Rabbit. Это интересно? Поделитесь с друзьями! —→

[Adm]

BadRabbit: вирус назвали модифицированной версией NotPetya.

МОСКВА, 25 окт — РИА Новости. Вирус-шифровальщик Bad Rabbit, атаковавший во вторник российские СМИ и украинские компании, является модифицированной версией вируса NotPetya, который поразил IT-системы организаций в нескольких странах в июне. Об этом сообщается на сайте компании Group-IB, специализирующейся на расследовании киберпреступлений.

«В ходе анализа установлено, что BadRabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код BadRabbit включает в себя части, полностью повторяющие NotPetya», — утверждают специалисты.

Отмечается, что на связь атаки с использованием BadRabbit с предыдущей атакой NotPetya указывают совпадения в коде. В текущей атаке поменялось количество искомых имен процессов, а сама функция вычисления хеша была скомпилирована в виде отдельной функции компилятором.

Источник распространения вируса

Специалисты компании Group-IB определили доменное имя, откуда началось распространение вируса. Эксперты выяснили, что IP домена, раздававшего вредоносное программное обеспечение, связан с пятью ресурсами, на владельцев которых зарегистрированы множество других сайтов, в том числе фарм-партнерок.

«Расследование показало, что раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209», — говорится в сообщении на сайте компании.

Большинство жертв атаки — в России

Атака нового вируса-шифровальщика BadRabbit направлена, прежде всего, на корпоративные сети, сообщается в блоге «Лаборатории Касперского».

«По нашим наблюдениям, большинство жертв атаки находится в России. Также мы наблюдаем похожие атаки на Украине, в Турции и Германии, но в значительно меньшем количестве», — заявил РИА Новости руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский.

Подробности кибератаки сотрудникам «Лаборатории Касперского» установить пока не удалось. «Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем», — говорится в сообщении.

Название BadRabbit фигурирует на странице в даркнете, на которую создатели вируса отправляют за информацией. За расшифровку данных хакеры требуют перевести на их счета сумму в 0,05 биткойна — примерно 283 доллара или 15,7 тыс. рублей, отметили в «Лаборатории Касперского».

Второй раз за полгода

Атака вируса-шифровальщика началась в минувший вторник. Среди жертв «Плохого кролика» оказались, в частности, российское информационное агентство «Интерфакс» и интернет-газета «Фонтанка». Пострадали также ресурсы Одесского аэропорта, Киевского метрополитена и Министерства инфраструктуры Украины.

Глобальная атака вируса-вымогателя NotPetya 27 июня поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину. Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов. Киберполиция Украины заявила, что атака вируса-вымогателя произошла посредством программы «M.E.doc».

BadRabbit: вирус назвали модифицированной версией NotPetya. Это интересно? Поделитесь с друзьями! —→

[Adm]

В ЦБ зафиксировали атаки вируса BadRabbit на российские банки.

Центр мониторинга и реагирования на компьютерные атаки (ФинЦЕРТ) Центробанка зафиксировал атаку на российские банки с использованием вируса-шифровальщика BadRabbit, но компрометации ресурсов финансовых организаций не было обнаружено. Об этом сообщает пресс-служба регулятора.

После обнаружения вирусной атаки ФинЦЕРТ направил участникам информационного обмена рекомендации, в которых говорилось, как выявить рассылаемое по почте вредоносное программное обеспечение и как противодействовать.

По данным мониторингового центра, особенностью этого вредоносного программного обеспечения является то, что оно собирает пароли пользователей зараженных компьютеров и загружает дополнительные вредоносные модули, используя полученные данные.

Банк России предупреждает, что злоумышленники продолжат распространять зараженное программное обеспечение. Обычно на e-mail приходит письмо с вложенным вирусом, после чего, обманным путем или злоупотребляя доверием, злоумышленники побуждают пользователя открыть вредоносный файл, и зараженное программное обеспечение активируется.

О том, что BadRabbit пытался атаковать российские банки из топ-20, сообщал Илья Сачков, гендиректор компании Group-IB, которая расследует киберпреступления. Были атакованы инфраструктуры банков, которые используют систему обнаружения вторжений компании.

Накануне модифицированный вирус-шифровальщик Bad Rabbit произвел «сотни атак». Он имеет много отличий с вирусом Petya: Bad Rabbit не использует уязвимость Microsoft файл-сервера srv.sys, а шифрование происходит с использованием легального драйвера ядра dcrypt.sys.

По данным лаборатории ESET, от атак вируса пострадали несколько стран, но на Россию пришлось 65% атак. Например, вирус поразил сайты «Интерфакса» и «Фонтанки».

Позже Банк России пообещал проанализировать причины атаки на «Интерфакс» и проработать механизмы для предотвращения таких инцидентов в будущем.

В ЦБ зафиксировали атаки вируса BadRabbit на российские банки. Это интересно? Поделитесь с друзьями! —→