Плохой кролик атакует Россию и Украину, перебираясь в Европу

27 октября 2017 года

Во вторник, 24 октября 2017 года, российские и украинские организации стали жертвами вируса-вымогателя Bad Rabbit (плохой кролик).

Среди пострадавших от хакеров - три российских СМИ, в том числе Интерфакс и Фонтанка.ру. Атаке подвергся аэропорт Одессы, Киевский метрополитен, а также многие другие организации. По словам гендиректора Group-IB Ильи Сачкова, Bad Rabbit пытался заразить российские банки из топ-20. Центральный банк России зафиксировал неудавшуюся попытку вмешательства в свою инфраструктуру.

При активации на компьютере пользователя зловред традиционно для подобных программ шифрует файлы и вымогает вознаграждение за восстановление доступа к ним. Вирус требует за разблокировку одного компьютера 0,05 биткоинов (около 16 тыс. рублей) в течение 48 часов. Однако, отличительной особенностью Bad Rabbit является возможность похищать с заражённой системы учётные данные пользователя и загружать дополнительные вредоносные модули.

Схема распространения вируса примитивна — пользователи, как и обычно, сами заражают свои компьютеры, переходя по ссылке из полученного письма на скомпрометированные веб-сайты и самостоятельно устанавливая вирус на своё устройство.

С технической стороны, по данным экспертов из Trend Micro, Bad Rabbit распространяется посредством атаки drive-by download (первоначально неточно классифицированной как watering hole — букв. «отверстие для полива»), предполагающей заражение web-сайтов, часто посещаемых потенциальными жертвами. Когда жертва попадает на заражённый сайт, ей предлагается установить поддельный Flash Player с именем install_flash_player.exe с контролируемого хакерами сайта. Что жертва обычно и делает. Далее вирус запрашивает подтверждение повышения полномочий посредством UAC Microsoft Windows. В настоящее время ссылка hxxp://1dnscontrol.com/flash_install, по которой предлагалось скачать поддельный плеер, уже неактивна.

После запуска поддельного установщика программ с помощью процесса rundll32.exe на атакуемую систему устанавливается шифровальщик infpub.dat и шифровальщик/дешифровщик dispci.exe. Приложение производит шифрование файлов по алгоритмам AES-128-CBC и RSA-2048

В ходе атаки Bad Rabbit использует три файла. Имена двух из них являются отсылкой к популярному телесериалу «Игра престолов», а именно имена трёх драконов — Дрогона, Рейгаля и Визериона. Файл rhaegal.job ответственен за выполнение файла дешифровщика, а drogon.job — за блокировку компьютера жертвы. Хранящиеся на системе файлы затем шифруются, а на экране появляется уведомление с требованием выкупа. Третий файл, viserion_23.job, второй раз перезагружает систему, после чего доступ к ней блокируется, а на экран выводится еще одно уведомление с требованием заплатить выкуп за ключ для дешифровки.

Bad Rabbit инфицирует другие компьютеры в сети путём загрузки в неё своих копий и выполнения их с помощью легальных инструментов Windows Management Instrumentation (WMI) и Service Control Manager Remote Protocol (см. Диспетчер управления службами). При использовании Service Control Manager Remote Protocol вредонос осуществляет атаку по словарю для получения учётных данных.

Среди других легальных инструментов, предположительно применяемых вредоносом для получения учётных данных, эксперты называют утилиту с открытым исходным кодом Mimikatz (на github). Исследователи также обнаружили признаки использования законного инструмента DiskCryptor (в нарушение лицензии GPLv3) для шифрования файлов на атакуемых компьютерах.

По данным компании Acronis, Bad Rabbit шифрует файлы с помощью легального драйвера ядра dcrypt.sys. ПО подписано сертификатами якобы от Symantec, благодаря чему вредоносу удается обходить антивирусные решения.

В отличие от шифровальщика NotPetya, Bad Rabbit не эксплуатирует уязвимость в файл-сервере srv.sys. Кроме того, шифрование диска осуществляется без имитации работы chkdsk.exe, сообщает РБК со ссылкой на экспертов Acronis. По мнению исследователей, NotPetya и Bad Rabbit имеют схожие черты «на концептуальном уровне», однако сильно различаются с технологической точки зрения. Среди общих черт эксперты, в частности, отмечают возможность как файлового, так и дискового шифрования у обоих вредоносов.

Тем не менее специалисты Group-IB установили (Архивная копия от 29 октября 2017 на Wayback Machine), что за атаками Bad Rabbit и эпидемией вымогательского ПО NotPetya, могут стоять связанные лица. На это указывают уникальная функция вычисления хэша в коде этих двух программ, способ распространения по сети, удаление журналов, логика извлечения модулей и сами модули. Некоторые модули были скомпилированы летом 2014 года, что говорит об использовании старых инструментов для работы с дисками из предыдущих атак данной группировки. Исследователи указывают также на то, что именно в 2014 году хакерская группировка Black Energy резко начала проявлять активность. В отчёте (Архивная копия от 29 октября 2017 на Wayback Machine) приводятся и другие подробности состоявшейся атаки. В частности, анализ кода показывает, что первоначально атака могла быть запланирована на 25 октября, однако началась на день раньше.

Позже исследователей безопасности из Cisco Talos и F-Secure опубликовали дополнительную информацию. По их данным, для более быстрого распространения Bad Rabbit использовалась модифицированная версия эксплоита EternalRomance, похищенного у группы Equation Group, подозреваемой в связях с Агентством национальной безопасности США (АНБ).

В настоящее время хакеры свернули атаку Bad Rabbit — контролируемая ими инфраструктура для распространения вируса (C&C-сервер^[1] — 1dnscontrol.com/185.149.120.3 и заражённые сайты) отключена. Расшифровать с помощью выплат злоумышленникам файлы заражённых ими компьютеров, скорее всего, уже не удастся.

Предыдущая новость: Украина обвинила Россию в кибератаках