[свободная трибуна] BadRabbit: вирус назвали модифицированной версией NotPetya
BadRabbit: вирус назвали модифицированной версией NotPetya
МОСКВА, 25 окт - РИА Новости. Вирус-шифровальщик Bad Rabbit, атаковавший во
вторник российские СМИ и украинские компании, является модифицированной
версией
вируса NotPetya, который поразил IT-системы организаций в нескольких странах
в июне. Об этом сообщается на сайте компании Group-IB, специализирующейся
на расследовании киберпреступлений.
<В ходе анализа установлено, что BadRabbit является модифицированной версией
NotPetya с исправленными ошибками в алгоритме шифрования. Код BadRabbit
включает
в себя части, полностью повторяющие NotPetya>, - утверждают специалисты.
Отмечается, что на связь атаки с использованием BadRabbit с предыдущей
атакой NotPetya указывают совпадения в коде. В текущей атаке поменялось
количество
искомых имен процессов, а сама функция вычисления хеша была скомпилирована в
виде отдельной функции компилятором.
Источник распространения вируса
Специалисты компании Group-IB определили доменное имя, откуда началось
распространение вируса. Эксперты выяснили, что IP домена, раздававшего
вредоносное
программное обеспечение, связан с пятью ресурсами, на владельцев которых
зарегистрированы множество других сайтов, в том числе фарм-партнерок.
<Расследование показало, что раздача вредоносного ПО проводилась с ресурса
1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209>, -
говорится
в сообщении на сайте компании.
Большинство жертв атаки - в России
Атака нового вируса-шифровальщика BadRabbit направлена, прежде всего, на
корпоративные сети, сообщается в блоге <Лаборатории Касперского>.
<По нашим наблюдениям, большинство жертв атаки находится в России. Также мы
наблюдаем похожие атаки на Украине, в Турции и Германии, но в значительно
меньшем
количестве>, - заявил РИА Новости руководитель отдела антивирусных
исследований <Лаборатории Касперского> Вячеслав Закоржевский.
Подробности кибератаки сотрудникам <Лаборатории Касперского> установить пока
не удалось. <Используются методы, похожие на те, что мы наблюдали в атаке
ExPetr, однако связь с ExPetr мы подтвердить не можем>, - говорится в
сообщении.
Название BadRabbit фигурирует на странице в даркнете, на которую создатели
вируса отправляют за информацией. За расшифровку данных хакеры требуют
перевести
на их счета сумму в 0,05 биткойна - примерно 283 доллара или 15,7 тыс.
рублей, отметили в <Лаборатории Касперского>.
Второй раз за полгода
Атака вируса-шифровальщика началась в минувший вторник. Среди жертв <Плохого
кролика> оказались, в частности, российское информационное агентство
<Интерфакс>
и интернет-газета <Фонтанка>. Пострадали также ресурсы Одесского аэропорта,
Киевского метрополитена и Министерства инфраструктуры Украины.
Глобальная атака вируса-вымогателя NotPetya 27 июня поразила IT-системы
компаний в нескольких странах мира, в большей степени затронув Украину.
Атаке подверглись
компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических
компаний, а также госорганов. Киберполиция Украины заявила, что атака
вируса-вымогателя
произошла посредством программы <M.E.doc>.
https://news.mail.ru/incident/31431675/?frommail=1
С уважением, Эдуард Фурников
