За кибератаками в России и на Украине стоял вирус-шифровальщик BadRabbit

24 октября 2017 года

Организация Group-IB сообщила, что днем 24 октября российские СМИ, в том числе «Интерфакс» и «Фонтанку.ру», атаковал шифровальщик BadRabbit, передает RNS (Архивная копия от 29 июня 2021 на Wayback Machine) со ссылкой на главу компании Илью Сачкова. По данным властей Украине, аналогичный вирус атаковал компьютерную сеть метро Киева и международного аэропорта Одессы, сообщает Reuters. Специалист чешской ESET Иржи Кропак написал в Twitter, что новый шифровальщик распространяется через фальшивый файл обновлений для Adobe Flash.

По словам главы Groip-IB, атаки на российские СМИ не похожи на действия ранее известных шифровальщиков Petya и Wannacry. В компании новый вирус назвали BadRabbit. «Возможно, он использует другую уязвимость и способ доставки», - заявил Сачков.

Специалист ESET, в свою очередь, в качестве подтверждения своего предположения о том, что шифровальщик распространяется через фальшивый файл обновлений для Adobe Flash, опубликовал скриншот с российского новостного сайта «Суть событий», который предлагает скачать такой файл.

Ранее главный редактор сообщившего о хакерской атаке петербургского издания «Фонтанка» Александр Горшков в беседе с «Медиазоной» сообщил, что речь идет о «взломе сервера». Он сравнил хакерскую атаку с «террористическими действиями» и связал ее с серией публикаций платных «ложных материалов», которыми пытались «скомпрометировать» издание.

У информационного агентств «Интерфакс», которое также подверглось атаке со стороны хакеров, за разблокировку компьютеров хакеры потребовали выкуп в биткоинах. «Мы подверглись хакерской атаке. Специалисты работают над устранением проблемы. Деталей мы не знаем», - сообщили РБК в пресс-службе агентства.

По информации издания, сотрудники «Интерфакса» уже опубликовали фотографии экранов своих рабочих компьютеров в интернете. На снимках виден текст требования выкупа в биткоинах и название вируса- BadRabbit. Сумма выкупа за каждый компьютер составляет 0,05 биткоина (более 16 тысяч рублей). После получения выкупа хакеры обещают передать пароль для доступа к информации.

От действий хакеров пострадала и Украина

Одновременно с этим стало известно о масштабной хакерской атаке на инфраструктурные объекты Украины. В частности. от действий злоумышленников пострадали информационная система международного аэропорта Одессы и компьютерная сеть метро Киева.

Также не работает сайт Государственной авиационной службы Украины.Министерство инфраструктуры страны сообщило, что в связи с получением сообщений о росте киберугрозы были приняты меры по повышению информационной безопасности.

Государственная служба специальной связи и защиты информации Украины (CERT-UA) уже сообщила «о возможном начале новой волны кибератак на информационные ресурсы» страны.

«Просим владельцев информационно-телекоммуникационных систем, других информационных ресурсов, в первую очередь транспортной инфраструктуры, а также рядовых интернет-пользователей соблюдать усиленных требований кибербезопасности», - говорится в пресс-релизе ведомства.

За последние полгода по миру прокатились уже две волны атак вирусов-шифровальщиков: 12 мая произошла атака вируса WannaCry, а 27 июня вирус-вымогатель Petya поразил сети около 80 организаций в России и правительственную сеть на Украине.

Оба вируса проникали на компьютеры, работающие на базе Windows, шифровали содержимое жестких дисков и требовали выкуп за восстановление данных. Атака вируса WannaCry затронула сотни тысяч компьютеров более чем в 150 странах, а атака Petya - свыше 10 тысяч компьютеров в 65 странах. От вирусов пострадал ряд российских компаний, включая «МегаФон» и «Роснефть», а в результате атаки Petya были зафиксированы единичные случаи заражения компьютеров в банках.

Вирус-вымогатель, который блокирует доступ к данным и требует 300 долларов в биткоинах за разблокировку, известен в различных модификациях еще с 2016 года.

Вредоносная программа распространяется через спам-письмо. В частности, первые версии Petya маскировались под резюме. Когда пользователь открывал зараженное письмо, на экране появлялась Windows-программа, требовавшая прав администратора.