Trešais liela mēroga kiberuzbrukums gada laikā. Šoreiz vīrusam ir jauns nosaukums Bad Rabbit un veci ieradumi: datu šifrēšana un naudas izspiešana par atbloķēšanu. Un Krievija, Ukraina un dažas citas NVS valstis joprojām atrodas skartajā zonā.

Bad Rabbit ievēro parasto modeli: tas nosūta pikšķerēšanas e-pastu ar pievienotu vīrusu vai saiti. Jo īpaši uzbrucēji var uzdoties par Microsoft tehnisko atbalstu un lūgt steidzami atvērt pievienoto failu vai sekot saitei. Ir vēl viens izplatīšanas ceļš - viltus atjaunināšanas logs. Adobe Flash Spēlētājs. Abos gadījumos Bad Rabbit darbojas tāpat kā sensacionālais pirms neilga laika, tas šifrē upura datus un pieprasa izpirkuma maksu 0,05 bitkoīnu apmērā, kas ir aptuveni 280 USD pēc valūtas maiņas kursa 2017. gada 25. oktobrī. Jaunās epidēmijas upuri bija Interfax, Sanktpēterburgas izdevums Fontanka, Kijevas Metropolitan, Odesas lidosta un Ukrainas Kultūras ministrija. Ir pierādījumi, ka jaunais vīruss mēģināja uzbrukt vairākām pazīstamām Krievijas bankām, taču šī ideja cieta neveiksmi. Eksperti saista Bad Rabbit ar iepriekšējiem lielajiem uzbrukumiem, kas reģistrēti šogad. Pierādījums tam ir līdzīga šifrēšanas programmatūra Diskcoder.D, un tas ir tas pats Petya šifrētājs, tikai nedaudz pārveidots.

Kā pasargāt sevi no Bad Rabbit?

Speciālisti iesaka īpašniekiem Windows datori izveidojiet failu "infpub.dat" un ievietojiet to Windows mape uz diska "C". Rezultātā ceļam vajadzētu izskatīties šādi: C:\windows\infpub.dat. To var izdarīt, izmantojot parasto piezīmju grāmatiņu, bet ar administratora tiesībām. Lai to izdarītu, atrodiet saiti uz programmu Notepad, ar peles labo pogu noklikšķiniet un atlasiet “Palaist kā administratoram”.

Pēc tam jums vienkārši jāsaglabā šis fails adresē C:\windows\, tas ir, Windows mapē diskā "C". Faila nosaukums: infpub.dat, un faila paplašinājums ir “dat”. Neaizmirstiet aizstāt standarta notepad paplašinājumu "txt" ar "dat". Pēc faila saglabāšanas atveriet Windows mapi, atrodiet izveidoto failu infpub.dat, ar peles labo pogu noklikšķiniet uz tā un atlasiet “Properties”, kur pašā apakšā ir jāatzīmē izvēles rūtiņa “Tikai lasāms”. Tādā veidā, pat ja jūs noķersiet Bad Bunny vīrusu, tas nevarēs šifrēt jūsu datus.

Preventīvie pasākumi

Neaizmirstiet, ka jūs varat pasargāt sevi no jebkura vīrusa, vienkārši ievērojot noteiktus noteikumus. Tas var izklausīties triviāli, taču nekad neatveriet e-pastus, vēl jo mazāk to pielikumus, ja adrese jums šķiet aizdomīga. Pikšķerēšanas e-pasta ziņojumi, tas ir, maskēšanās par citiem pakalpojumiem, ir visizplatītākā inficēšanās metode. Esiet uzmanīgi, ko atverat. Ja e-pastā pievienotā faila nosaukums ir “Svarīgs dokuments.docx_______.exe”, tad noteikti nevajadzētu atvērt šo failu. Turklāt jums ir jābūt dublējumkopijas svarīgi faili. Piemēram, ģimenes arhīvu ar fotogrāfijām vai darba dokumentiem var dublēt ārējais disks vai ieslēgts mākoņa krātuve. Neaizmirstiet, cik svarīgi ir to lietot licencēta versija Windows un regulāri instalējiet atjauninājumus. Drošības ielāpus Microsoft izlaiž regulāri, un tiem, kas tos instalē, ar šādiem vīrusiem nav problēmu.

Šī gada oktobra beigas iezīmējās ar jauna vīrusa parādīšanos, kas aktīvi uzbruka korporatīvo un mājas lietotāju datoriem. Jauns vīruss ir kriptogrāfs un tiek saukts Bad Rabbit, kas nozīmē sliktais trusis. Šis vīruss tika izmantots, lai uzbruktu vairāku Krievijas mediju vietnēm. Vēlāk vīruss tika atklāts Ukrainas uzņēmumu informācijas tīklos. Tur uzbrukts metro informācijas tīkliem, dažādām ministrijām, starptautiskajām lidostām u.c. Nedaudz vēlāk līdzīgs vīrusa uzbrukums tika novērots Vācijā un Turcijā, lai gan tā aktivitāte bija ievērojami zemāka nekā Ukrainā un Krievijā.

Ļaunprātīgs vīruss ir īpašs spraudnis, kas, nonākot datorā, šifrē tā failus. Kad informācija ir šifrēta, uzbrucēji mēģina iegūt atlīdzību no lietotājiem par viņu datu atšifrēšanu.

Vīrusa izplatība

ESET antivīrusu programmu laboratorijas speciālisti analizēja vīrusa izplatīšanās ceļa algoritmu un nonāca pie secinājuma, ka tas ir modificēts vīruss, kas izplatījās ne tik sen, kā Petya vīruss.

ESET laboratorijas speciālisti konstatēja, ka kaitīgie spraudņi izplatīti no resursa 1dnscontrol.com un IP adreses IP5.61.37.209. Ar šo domēnu un IP ir saistīti arī vairāki citi resursi, tostarp secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Eksperti izpētījuši, ka šo vietņu īpašnieki reģistrējuši daudz dažādu resursu, piemēram, tos, ar kuru starpniecību, izmantojot surogātpasta sūtījumus, mēģina pārdot viltotas zāles. ESET speciālisti Nav izslēgts, ka tieši ar šo resursu palīdzību, izmantojot surogātpasta sūtījumus un pikšķerēšanu, tika veikts galvenais kiberuzbrukums.

Kā notiek Bad Rabbit vīrusa infekcija?

Datoru kriminālistikas laboratorijas speciālisti veica izmeklēšanu par vīrusa nokļūšanu lietotāju datoros. Tika atklāts, ka vairumā gadījumu Bad Rabbit ransomware vīruss tika izplatīts kā Adobe Flash atjauninājums. Tas nozīmē, ka vīruss neizmantoja nevienu ievainojamību operētājsistēma, taču to instalēja paši lietotāji, kuri, neapzināti, apstiprināja tā instalēšanu, domājot, ka atjaunina Adobe Flash spraudni. Kad vīruss iekļuva lokālais tīkls, tas nozaga pieteikumvārdus un paroles no atmiņas un neatkarīgi izplatījās citās datorsistēmās.

Kā hakeri izspiež naudu

Pēc izspiedējvīrusa instalēšanas datorā tas šifrē saglabāto informāciju. Pēc tam lietotāji saņem ziņojumu, kurā norādīts, ka, lai piekļūtu saviem datiem, viņiem ir jāveic maksājums noteiktā vietnē tumšajā tīklā. Lai to izdarītu, vispirms jāinstalē īpaša Tor pārlūkprogramma. Lai atbloķētu datoru, uzbrucēji izspiež maksājumu 0,05 bitkoinu apmērā. Šodien, 5600 USD par vienu Bitcoin, tas ir aptuveni USD 280, lai atbloķētu datoru. Lietotājam tiek dots 48 stundu laika periods maksājuma veikšanai. Pēc šī perioda, ja nepieciešamā summa nav pārskaitīta uz uzbrucēja elektronisko kontu, summa palielinās.

Kā pasargāt sevi no vīrusa

1. Lai pasargātu sevi no Bad Rabbit vīrusa inficēšanās, bloķējiet piekļuvi no informācijas vides iepriekšminētajiem domēniem.
2. Mājas lietotājiem ir jāatjaunina pašreizējais Windows versijas un arī pretvīrusu programma. Šādā gadījumā ļaunprātīgais fails tiks atklāts kā izspiedējvīruss, kas izslēgs tā instalēšanas iespēju datorā.
3. Tie lietotāji, kuri izmanto iebūvēto pretvīrusu operētājsistēmu Windows sistēmas, jau ir aizsardzība pret šīm izpirkuma programmām. Tas tiek ieviests Windows lietojumprogramma Defender Antivirus.
4. Kaspersky Lab pretvīrusu programmas izstrādātāji iesaka visiem lietotājiem periodiski dublēt savus datus. Turklāt eksperti iesaka bloķēt failu c:\windows\infpub.dat, c:\WINDOWS\cscc.dat izpildi, kā arī, ja iespējams, ir jāaizliedz WMI pakalpojuma lietošana.

Secinājums

Katram datora lietotājam jāatceras, ka, strādājot tīklā, kiberdrošībai jābūt pirmajā vietā. Tāpēc jums vienmēr ir jāpārliecinās, ka izmantojat tikai pārbaudītus informācijas resursus un rūpīgi lietojat e-pasts Un sociālie mediji. Tieši caur šiem resursiem visbiežāk izplatās dažādi vīrusi. Uzvedības pamatnoteikumi informācijas vidē palīdzēs novērst problēmas, kas rodas vīrusu uzbrukuma laikā.

24.oktobrī Krievijas medijiem, kā arī transporta uzņēmumiem un valsts iestādēm Ukrainā uzbruka Bad Rabbit izpirkuma programmatūra. Atklātie avoti liecina, ka upuru vidū ir Kijevas metro, Odesas lidosta, Ukrainas Infrastruktūras ministrija, Interfax un Fontanka redakcijas.

Saskaņā ar ESET vīrusu laboratorijas datiem, uzbrukumā Kijevas metro tika izmantota ļaunprogrammatūra Diskcoder.D, kas ir jauna šifrētāja modifikācija, kas pazīstama ar nosaukumu Petya.

Speciālisti in informācijas drošība Grupa-IB atklāja, ka uzbrukums tika gatavots vairākas dienas. ESET brīdina, ka izpirkuma programmatūra iekļūst datorā, izmantojot viltus Adobe Flash spraudņa atjauninājumu. Pēc tam tas inficē datoru un šifrē tajā esošos failus. Pēc tam monitorā parādās ziņojums, ka dators ir bloķēts, un, lai atšifrētu failus, jums jāiet uz vietni Bad Rabbit - caforssztxqzf2nm.onion caur Tor pārlūku.

WannaCry un NotPetya ransomware epidēmijas parādīja, ka ir nepieciešams atjaunināt laiku instalētās programmas un sistēmu, kā arī izveidot rezerves kopijas, lai nepaliktu bez svarīga informācija pēc vīrusu uzbrukuma.

Tomēr, ja notiek infekcija, grupas IB eksperti neiesaka maksāt izpirkuma maksu, jo:

• tādā veidā jūs palīdzat noziedzniekiem;
• Mums nav pierādījumu, ka būtu atjaunoti to personu dati, kuri maksāja.

Kā pasargāt savu datoru no Bad Rabbit infekcijas?

Lai nekļūtu par jaunās Bad Rabbit epidēmijas upuri, Kaspersky Lab eksperti iesaka rīkoties šādi:

Kaspersky Lab antivīrusu risinājumu lietotājiem:

• Pārbaudiet, vai jūsu drošības risinājumā ir iekļauti komponenti Kaspersky drošība Tīkla un aktivitātes monitors (aka System Watcher). Ja nē, noteikti ieslēdziet to.

Tiem, kas neizmanto Kaspersky Lab antivīrusu risinājumus.

Vakar, 2017. gada 24. oktobrī, lielajiem Krievijas medijiem, kā arī vairākām Ukrainas valsts iestādēm uzbruka nezināmi uzbrucēji. Starp upuriem bija Interfax, Fontanka un vēl vismaz viens vārdā nenosaukts tiešsaistes izdevums. Sekojot plašsaziņas līdzekļiem, tika ziņots arī par problēmām Starptautiskā lidosta"Odesa", Kijevas metro un Ukrainas Infrastruktūras ministrija. Saskaņā ar Group-IB analītiķu paziņojumu noziedznieki mēģināja uzbrukt arī banku infrastruktūrām, taču šie mēģinājumi bija nesekmīgi. Savukārt ESET speciālisti apgalvo, ka uzbrukumi skāruši lietotājus no Bulgārijas, Turcijas un Japānas.

Kā izrādījās, traucējumus uzņēmumu un valsts aģentūru darbā izraisīja nevis masveida DDoS uzbrukumi, bet gan izspiedējvīruss ar nosaukumu Bad Rabbit (daži eksperti dod priekšroku BadRabbit rakstīt bez atstarpes).

Vakar par ļaunprogrammatūru un tās darbības mehānismiem bija zināms maz: tika ziņots, ka izspiedējvīruss pieprasa 0,05 bitkoinu izpirkuma maksu, tāpat Group-IB eksperti stāstīja, ka uzbrukumam tika gatavots vairākas dienas. Tādējādi uzbrucēju vietnē tika atklāti divi JS skripti, un, spriežot pēc informācijas no servera, viens no tiem tika atjaunināts 2017. gada 19. oktobrī.

Patlaban, lai gan nav pagājusi pat diena kopš uzbrukumu sākuma, izpirkuma programmatūras analīzi jau veikuši gandrīz visu pasaules vadošo informācijas drošības uzņēmumu speciālisti. Tātad, kas ir Bad Rabbit, un vai mums vajadzētu sagaidīt jaunu “izpirkuma programmatūras epidēmiju”, piemēram, WannaCry vai NotPetya?

Kā Bad Rabbit izdevās izraisīt lielus plašsaziņas līdzekļu pārtraukumus, kad runa bija par viltotiem Flash atjauninājumiem? Saskaņā ar ESET , Emsisoft Un Fox-IT, pēc inficēšanās ļaunprogrammatūra izmantoja utilītu Mimikatz, lai izvilktu paroles no LSASS, un tai bija arī visbiežāk sastopamo pieteikumvārdu un paroļu saraksts. Ļaunprātīgā programmatūra to visu izmantoja, lai, izmantojot SMB un WebDAV, izplatītos uz citiem serveriem un darbstacijām, kas atrodas tajā pašā tīklā, kur inficētā ierīce. Tajā pašā laikā iepriekš uzskaitīto uzņēmumu eksperti un Cisco Talos darbinieki uzskata, ka šajā gadījumā nebija nekādu rīku, kas nozagti no izlūkošanas aģentūrām, kas izmantoja MVU nepilnības. Ļaujiet man jums to atgādināt WannaCry vīrusi un NotPetya tika izplatīti, izmantojot šo konkrēto izmantošanu.

Tomēr ekspertiem joprojām izdevās atrast dažas līdzības starp Bad Rabbit un Petya (NotPetya). Tādējādi izpirkuma programmatūra ne tikai šifrē lietotāja failus, izmantojot atvērtā pirmkoda DiskCryptor, bet arī modificē MBR (Master Boot Record), pēc tam pārstartē datoru un parāda ziņojumu, kurā tiek pieprasīta izpirkuma maksa.

Lai gan vēstījums ar uzbrucēju prasībām ir gandrīz identisks NotPetya operatoru ziņai, ekspertu viedokļi par Bad Rabbit un NotPetya saistību ir nedaudz atšķirīgi. Tādējādi Intezer analītiķi aprēķināja, ka ļaunprogrammatūras pirmkods

Astoņdesmito gadu beigās AIDS vīruss (“PC Cyborg”), ko uzrakstīja Džozefs Pops, slēpa direktorijus un šifrētus failus, tāpēc par “licences atjaunošanu” bija jāmaksā aptuveni 200 $. Sākumā izpirkuma programmatūra bija paredzēta tikai parastajiem cilvēkiem, kuri izmantoja datorus Windows vadība, taču šobrīd par nopietnu biznesa problēmu kļuvuši paši draudi: parādās arvien vairāk programmu, tās kļūst lētākas un pieejamākas. Izspiešana, izmantojot ļaunprātīgu programmatūru, ir galvenais kiberdrauds 2/3 ES valstu. Viens no izplatītākajiem izspiedējvīrusiem CryptoLocker kopš 2013. gada septembra ES valstīs ir inficējis vairāk nekā ceturtdaļmiljonu datoru.

2016. gadā strauji pieauga izspiedējvīrusu uzbrukumu skaits — pēc analītiķu domām, vairāk nekā simts reizes salīdzinājumā ar iepriekšējo gadu. Tā ir pieaugoša tendence, un, kā mēs redzējām, uzbrukumi tiek pakļauti pilnīgi dažādiem uzņēmumiem un organizācijām. Draudi ir aktuāli arī bezpeļņas organizācijām. Tā kā katram lielajam uzbrukumam ļaunprātīgās programmas tiek jauninātas un uzbrucēji pārbauda, ​​lai tās “izturētu” pretvīrusu aizsardzību, pretvīrusi parasti ir bezspēcīgi pret tiem.

12. oktobrī Ukrainas Drošības dienests brīdināja par iespējamību jauniem liela mēroga kiberuzbrukumiem valsts aģentūrām un privātuzņēmumiem, līdzīgi kā jūnija izspiedējvīrusu epidēmijai. Nav Petja. Pēc Ukrainas izlūkdienesta teiktā, "uzbrukums varētu tikt veikts, izmantojot atjauninājumus, tostarp publiski pieejamu lietojumprogrammatūru". Atcerēsimies to uzbrukuma gadījumā Ne Petja, ko pētnieki saistīja ar BlackEnergy grupu, pirmie upuri bija uzņēmumi, kas izmantoja programmatūra Ukrainas dokumentu pārvaldības sistēmas “M.E.Doc” izstrādātājs.

Pēc tam pirmajās 2 stundās tika uzbrukts enerģētikas, telekomunikāciju un finanšu uzņēmumiem: Zaporožjeoblenergo, Dņeproenergo, Dņepras elektroenerģijas sistēma, Mondelez International, Oschadbank, Mars, Nova Poshta, Nivea, TESA, Kijevas metro, Ministru kabineta datori un Ukrainas valdība, veikali "Auchan", Ukrainas operatori ("Kyivstar", LifeCell, "UkrTeleCom"), Privatbank, Borispiļas lidosta.

Nedaudz agrāk, 2017. gada maijā, WannaCry ransomware vīruss uzbruka 200 000 datoru 150 valstīs. Vīruss izplatījās caur universitāšu tīkliem Ķīnā, Renault rūpnīcām Francijā un Nissan rūpnīcām Japānā, telekomunikāciju uzņēmumu Telefonica Spānijā un dzelzceļa operatoru Deutsche Bahn Vācijā. Apvienotās Karalistes klīnikās bloķēto datoru dēļ operācijas nācās atlikt, un Krievijas Iekšlietu ministrijas reģionālās nodaļas nevarēja izsniegt autovadītāja apliecības. Pētnieki sacīja, ka aiz uzbrukuma bija Ziemeļkorejas hakeri no Lazarus.

2017. gadā šifrēšanas vīrusi sasniedza jaunu līmeni: amerikāņu izlūkdienestu arsenālu rīku un jaunu izplatīšanas mehānismu izmantošana kibernoziedznieku rīcībā izraisīja starptautiskas epidēmijas, no kurām lielākās bija WannaCry un NotPetya. Neraugoties uz inficēšanās apmēriem, pati izspiedējvīrusa iekasēja salīdzinoši niecīgas summas – visticamāk tie nebija naudas pelnīšanas mēģinājumi, bet gan uzņēmumu, valsts aģentūru un privāto uzņēmumu kritiskās infrastruktūras tīklu aizsardzības līmeņa pārbaude.