Group-IB определила доменное имя, с которого началось распространение вируса Bad Rabbit
В компании в сфере расследования киберпреступлений полагают, что злоумышленники, использовавшие для атаки Bad Rabbit, могли быть связаны с продажей трафика
МОСКВА, 24 октября. /ТАСС/. Компания в сфере расследования киберпреступлений Group-IB определила доменное имя, откуда началось распространение вируса-шифровальщика Bad Rabbit, от которого в среду пострадали российские СМИ и украинские компании. Об этом сообщил ТАСС генеральный директор и основной владелец Group-IB Илья Сачков.
"Мы определили доменное имя, с которого началось распространение вируса, и с этим доменным именем и IP-адресом связаны еще пять ресурсов", - сказал он.
В Group-IB полагают, что злоумышленники, использовавшие для атаки Bad Rabbit, могли быть связаны с продажей трафика (тип серого бизнеса в интернете - прим. ТАСС), или привлекли группу из этой сферы. Сачков пояснил, что на владельцев этих сайтов зарегистрировано множество ресурсов, например, так называемые "фарм-партнерки" - сайты, которые через спам продают контрафактные медикаменты. "Возможно, что преступная группа, которая причастна к этой атаке, занимается продажей трафика с 2011 года. Так, не исключено, что они просто решили заработать больше с некоторых своих ресурсов и сливают трафик для распространения Bad Rabbit", - рассказал глава Group-IB.
По его словам, в случае с фарм-партнерками работает это так: пользователь видит в интернете рекламу какого-то лекарства, переходит по ссылке и попадает на определенный интернет-ресурс, зараженный вирусом. "В этом случае они направили трафик на взломанные ресурсы, с которых распространялся вредоносный Bad Rabbit", - пояснил Сачков.
По его словам, имеющиеся данные дают реальный шанс установить сопричастных к атаке лиц. "Мы не уверены, что речь идет о целевой атаке, но это будет понятно чуть позже", - добавил он.
Глава Group-IB отметил, что атака с помощью Bad Rabbit может носить массовый характер. "Она могла быть массовой, с прицелом на кого-то", - уточнил он, отметив, что о чисто целевой атаке речи, скорее всего не идет. "Что интересно - преступники поломали достаточно большое количество сайтов, некоторые из которых являются российскими СМИ. Например, "Аргументы.ру", "Фонтанка.ру", "Новая газета Санкт-Петербург". Таким образом, они пытались получить достаточно целевой трафик людей, которые посещают российские сайты", - резюмировал Сачков.
"Плохой кролик" атакует
Новый вирус-шифровальщик в среду атаковал сайты ряда российских СМИ. В частности, как сообщали "Лаборатория Касперского" и Group-IB, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка.ру". При этом главный редактор "Фонтанки" Александр Горшков заявил ТАСС, что информационная система компании подверглась именно взлому, а вирус Bad Rabbit не при чем.
"Лаборатория Касперского" сообщила, что большинство жертв нового вируса-шифровальщика находится в России, но похожие атаки наблюдаются на Украине, в Турции и Германии, хотя и в значительно меньшем количестве. По данным Group-IB, атаки начались после полудня на Украине - вирус поразил компьютерные сети Киевского метрополитена, министерства инфраструктуры, международного аэропорта Одессы.
Хакеры используют методы, похожие на те, что наблюдались в атаке вируса ExPetr (Petya) в июне 2017 года, отмечала "Лаборатория Касперского", уточняя, что подтвердить связь двух вирусов не может. В то же время разработчик антивирусов ESET сообщил, что атаковавший российские СМИ и украинские компании вирус-шифровальщик Bad Rabbit является новой модификацией известного вируса Petya.
Пресс-секретарь Microsoft в России Кристина Давыдова сообщала ТАСС, что американская корпорация изучает информацию о кибератаках.