25 октября 2017, 02:09

Group-IB сообщила о завершении основной волны распространения вируса BadRabbit

Morris MacMatzen/ Getty Images
По данным компании, домен, через который распространялся BadRabbit, уже не отвечает

МОСКВА, 25 октября. /ТАСС/. Основная волна распространения вируса-шифровальщика BadRabbit, атаке которого подверглись во вторник российские СМИ и украинские компании, завершилась, хотя возможно будут еще зафиксированы единичные случаи заражения. Об этом ТАСС рассказал замглавы лаборатории компьютерной криминалистики компании Group-IB (специализируется на расследовании и предотвращении киберпреступлений) Сергей Никитин.

"Сейчас можно говорить о прекращении активного распространения вируса, третья эпидемия практически завершилась. Даже домен, через который распространялся BadRabbit, уже не отвечает", - сказал он. Никитин отметил, что возможны единичные случаи заражения вирусом, в частности, в корпоративных сетях, где уже были украдены логины и пароли, и вирус может установиться сам, без участия пользователя. Однако уже можно говорить о завершении основной волны третьей эпидемии вируса-шифровальщика в 2017 году, пояснил он.

По словам Никитина, пользователи сами скачивали обновление Adobe Flash Player, которое на самом деле было фальшивым. "Они самостоятельно одобряли установку этого обновления, и таким образом заражали свой компьютер", - рассказал он. "Никаких уязвимостей вообще не было, пользователи сами запускали файл", - добавил Никитин. По его словам, попав в локальную сеть, BadRabbit крадет из памяти логины и пароли и может самостоятельно устанавливаться на другие компьютеры.

Сейчас практически все антивирусные компании добавили этот файл в базу, пояснил Никитин. "Сайты, которые были скомпрометированы, тоже известны", - уточнил он. Расследование Group-IB показало, что раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com после захода на взломанные легитимные сайты. В их числе - fontanka.ru, argumenti.ru и argumentiru.com.

"Доменное имя 1dnscontrol.com имеет IP 5.61.37.209, с этим доменным именем и IP-адресом связаны следующие ресурсы: webcheck01.net, webdefense1.net, secure-check.host, firewebmail.com, secureinbox.email, secure-dns1.net", - рассказали в Group-IB. В компании отметили, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые "фарм-партнерки" - сайты, которые через спам продают контрафактные медикаменты. "Не исключено, что они использовались для рассылки спама, фишинга", - уточнили в Group-IB.

Чтобы защититься от заражения BadRabbit, компаниям достаточно заблокировать указанные домены для пользователей корпоративной сети, отметил Никитин. Домашним пользователям следует обновить Windows и антивирусный продукт - тогда этот файл будет детектироваться как вредоносный, добавил он.

Владельцы "Плохого кролика"

Кто именно стоит за этой атакой пока не ясно - по словам замглавы лаборатории компьютерной криминалистики Group-IB, расследование еще продолжается. Однако уже сейчас понятно, что это не была целевая атака - были взломаны сайты СМИ, и все пользователи, которые заходили на эти сайты, могли увидеть всплывающее окно и установить вредоносную программу. "Судя по небольшому количеству заражений, в тех организациях, где безопасность лучше, пользователи просто не смогли скачать и запустить этот файл", - уточнил Никитин.

Новый вирус-шифровальщик во вторник атаковал сайты ряда российских СМИ. В частности, как сообщали "Лаборатория Касперского" и Group-IB, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка". По данным Group-IB, атаки начались после полудня на Украине - вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы.

В мае компьютеры по всему миру атаковал вирус WannaCry. На зараженных компьютерах блокировалась информация, а за разблокировку данных злоумышленники требовали $600 в биткоинах.

В июне другой вирус под названием Petya атаковал нефтяные, телекоммуникационные и финансовые компании России, Украины и некоторых стран ЕС. Принцип его действия был таким же - вирус шифровал информацию и требовал выкуп в размере $300 в биткоинах.