Эксперт Group-IB об атаке BadRabbit: выкуп не гарантировал разблокировки

24 октября вирус BadRabbit атаковал ряд российских СМИ («Фонтанка», «Интерфакс») и госучреждений Украины («Киевский метрополитен», Министерство инфраструктуры, аэропорт «Одесса»). Сведения о заражении также поступали из Турции и Германии.

Злоумышленники блокировали файлы на компьютерах и требовали выкуп в 0.05 биткоина
(примерно $280) за каждый. По требованиям хакеров, перевод средств должен был произойти в течение 48 часов с момента заражения. В противном случае атакованному компьютеру была обещана «блокировка навсегда».

Что собой представляет BadRabbit

Вирус распространяется только на ОС Windows, хакеры требуют перейти на сайт в даркнете caforssztxqzf2nm.onion, где находился кошелек для оплаты выкупа. Сам вирус распространялся с домена 1dnscontrol.com, IP 5.61.37.209.

Стало известно, что BadRabbit является модифицированной версией NotPetya. Так, специалисты по кибербезопасности компании Group-IB, сообщили, что найдены соответствующие совпадения в кодах двух «червей»: в NotPetya содержался такой же алгоритм вычисления хеш-суммы. Главное отличие заключается в том, что начальный вектор инициализации в случае NotPetya 0x12345678, а BadRabbit – 0x87654321. К тому же сама функция вычисления хеша была скомпилирована в виде отдельной функции компилятором.

 Что говорит отчёт

Как говорится в отчёте, выпущенном Group-IB в четверг, 26 ноября, – вирус распространялся методом drive-by download, то есть пользователь сам загружал и запускал вредоносный файл, прикидывающийся другой программой. Вся информация со взломанных сайтов отправлялась на сервер 185.149.120.3, принадлежавший маркетинговой компании Jetmail – это означает, что их сервер был взломан хакерами в первую очередь, через уязвимость в Apache Tomcat/Coyote JSP engine 1.1. В свое время севернокорейская группа Lazarus использовала эту же брешь для проведения своих атак на банки.

После попадания вредоносного файла в компьютер пользователя происходила инициализация вирусной программы и удаление системного файла C:windowsinfpub.dat.

Анализ сайта caforssztxqzf2nm.onion показал, что в последний раз страница обновлялась 19 октября, а значит, сайт был подготовлен за 5 дней до атаки. Специалисты Group-IB добавляют, что домен 1dnscontrol.com был зарегистрирован 22 марта 2016 года и до сих пор пролонгируется. Существует версия, что он мог уже быть использован в кибермошеннической деятельности и ранее, а значит, создатели BadRabbit могли приобрести его у другой хакерской группы.

Самая первая атака произошла 24 октября в 11:17 утра. Всего было скомпрометировано более 20 сайтов из России, Украины, Болгарии, Турции, Германии, Японии и Чехии. Сам вредоносный файл был скомпилирован 22 октября.

Кроме того, эксперты Group-IB считают, что изначально атака была спланирована на 25 октября (об этом говорит анализ файлов на домене в сети TOR), а за всем возможно стоит хакерская организация BlackEnergy.

Раннее стало известно, что вирус пытался атаковать российские банки из Топ-20, однако их система защиты пресекла его распространение. Глава Group-IB Илья Сачков подчеркнул, что виртуальная защита банков находится на более качественном уровне, в отличие от компаний небанковского сектора. Однако утверждать, что это была целенаправленная атака на российские и украинские предприятия нельзя: как и в случае с вирусом WannaCry, BadRabbit распространился по всему миру, а сообщения потерпевших поступали в том числе из европейских и азиатских стран. 

Сергей Никитин, заместитель руководителя лаборатории компьютерной криминалистики Group-IB, считает, что атака не была направлена исключительно на госучреждения и СМИ.

«Как это сработало? Был взломан ряд сайтов российских и украинских СМИ – «Фонтанка», «Аргументы Недели», «Интерфакс» и так далее. На этих ресурсах было размещено всплывающее окно, которое предлагало посетителям скачать обновление Flash Player. Соответственно многие посетители названных сайтов видели это окно и скачивали вредоносный файл», – говорит Сергей.

Продукция компании Adobe – одна из самых популярных на рынке ПО, а ее плагин Adobe Flash Player используется практически на каждом современном компьютере. Разработанный хакерами вирус BadRabbit просто прикидывался обновлением этой программы, скопировав даже значок.

По мнению эксперта, до сих пор нет подтверждения того, что, даже заплатив выкуп, пользователь мог спасти свой компьютер. Вполне возможно, что целью атаки было именно само шифрование как акт безвозвратного уничтожения данных.

Почему именно в биткоинах?

Возникает резонный вопрос: если это уже не первая хакерская атака, то почему госучреждения опять подверглись заражению? По словам эксперта, это банальное несоблюдение компьютерной гигиены. К примеру, соответствующие системные «заплатки» были готовы еще до появления вируса PetyaA, однако не все компании их поставили и подвергли свои компьютеры заражению.

«До тех пор, пока пользователи сами будут скачивать какие-то сомнительные файлы, такие атаки будут только повторяться, – поясняет эксперт. – Впрочем, если говорить о способах защиты от хакерских атак, то модной и действенной в этом смысле становится технология блокчейна. Мои коллеги готовят об этом доклад для ноябрьской блокчейн-конференции в Москве».

Выбор же криптовалюты был обусловлен тем, что отследить их по транзакциям в данном случае практически невозможно.

«Стоит отметить, что, судя по всему, кошелек генерируется для каждого заражения свой, таких кошельков огромное количество, и отследить их достаточно сложно. Биткоины, поскольку это криптовалюта, могут быть проданы на какой-то китайской бирже, и найти хакеров будет очень трудно», – продолжает Сергей.

Также эксперт считает, что восстановление систем может затянуться:

«Тут на самом деле есть некоторые парадоксальные вещи. Естественно, речь идет о восстановлении резервных копий. То есть там, где резервные копии делаются своевременно, все будет хорошо. Но, к сожалению, судя по отдельным обращениям, у некоторых потерпевших зашифровали не только все данные, но и сами резервные копии».

Как защититься от вируса

По рекомендациям Сергея, в первую очередь стоит просто соблюдать банальную компьютерную гигиену: не открывать подозрительные ссылки и не скачивать подозрительные файлы.

25 октября был найден Kill Switch вируса. Для этого нужно создать файл C:windowsinfpub.dat и ввести режим «только для чтения» – даже в случае заражения файлы не будут зашифрованы. 

По данным отчета лаборатории Касперского за первую половину 2017 года, около 43% российских предприятий столкнулись с кибератаками. Больше всего пострадали производственные и инженерные компании (31% и 24,5% соответственно).

Также Россия вошла в первую десятку рейтинга государств, где компьютеры предприятий больше всего подвержены заражению. Первые места заняли Украина, Малайзия и Дания. Больше всего ущерба производственным компаниям нанес майский вирус WannaCry – более 13% от всех зараженных компьютеров приходилось на технологические организации. 

По словам генерального прокурора РФ Юрия Чайки, количество киберпреступлений с 2013 по 2016 год увеличилась в 6 раз (с 11 тыс. до 66 тыс.), а их значительный рост наблюдается в этом году (+26%, 40 тыс.). По мнению аналитиков, количество хакерских атак в России к 2018 году может вырасти в четыре раза, а общие потери превысят 2 триллиона рублей. Хакеры все чаще выбирают страны СНГ своей основной целью для атак из-за низкого уровня защитных систем, исходя из этого прогнозы экспертов по вероятным атакам в следующем году неутешительные. Поэтому к 2018 году ФСБ совместно со Сбербанком планируют разработать новую систему защиты от кибератак и минимизировать вероятный ущерб от хакеров.

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]