Al treilea atac cibernetic la scară largă într-un an. De data aceasta, virusul are un nou nume, Bad Rabbit, și vechi obiceiuri: criptarea datelor și extorcarea de bani pentru deblocare. Și Rusia, Ucraina și alte câteva țări CSI sunt încă în zona afectată.

The Bad Rabbit urmează modelul obișnuit: trimite un e-mail de phishing cu un virus sau un link atașat. În special, atacatorii pot prezenta drept suport tehnic Microsoft și vă pot cere să deschideți urgent un fișier atașat sau să urmați un link. Există o altă rută de distribuție - o fereastră de actualizare falsă. Adobe Flash Player. În ambele cazuri, Bad Rabbit acționează în același mod ca cel senzațional, nu cu mult timp în urmă, criptează datele victimei și solicită o răscumpărare de 0,05 bitcoin, care este de aproximativ 280 USD la cursul de schimb din 25 octombrie 2017. Victimele noii epidemii au fost Interfax, publicația din Sankt Petersburg Fontanka, Metropolitan Kiev, aeroportul Odesa și Ministerul Culturii al Ucrainei. Există dovezi că noul virus a încercat să atace mai multe bănci rusești cunoscute, dar această idee a eșuat. Experții leagă Bad Rabbit de atacurile majore anterioare înregistrate în acest an. Dovadă în acest sens este software-ul de criptare similar Diskcoder.D, și acesta este același encryptor Petya, doar puțin modificat.

Cum să te protejezi de Bad Rabbit?

Experții recomandă proprietarilor calculatoare Windows creați un fișier „infpub.dat” și plasați-l în folderul Windows pe unitatea „C”. Ca rezultat, calea ar trebui să arate astfel: C:\windows\infpub.dat. Acest lucru se poate face folosind un notepad obișnuit, dar cu drepturi de administrator. Pentru a face acest lucru, găsiți un link către programul Notepad, faceți clic dreapta și selectați „Run as Administrator”.

Apoi trebuie doar să salvați acest fișier la adresa C:\windows\, adică în folderul Windows de pe unitatea „C”. Nume fișier: infpub.dat, „dat” fiind extensia fișierului. Nu uitați să înlocuiți extensia standard de notepad „txt” cu „dat”. După ce salvați fișierul, deschideți folderul Windows, găsiți fișierul infpub.dat creat, faceți clic dreapta pe el și selectați „Proprietăți”, unde în partea de jos trebuie să bifați caseta de selectare „Numai citire”. În acest fel, chiar dacă prindeți virusul Bad Bunny, acesta nu vă va putea cripta datele.

Măsuri preventive

Nu uita că te poți proteja de orice virus pur și simplu respectând anumite reguli. Poate suna banal, dar nu deschide niciodată e-mailurile, cu atât mai puțin atașamentele lor, dacă adresa ți se pare suspectă. E-mailurile de tip phishing, adică mascarada ca alte servicii, sunt cea mai comună metodă de infectare. Ai grijă ce deschizi. Dacă într-un e-mail fișierul atașat se numește „Important document.docx_______.exe”, atunci cu siguranță nu ar trebui să deschideți acest fișier. În plus, trebuie să ai copii de rezervă fișiere importante. De exemplu, o arhivă de familie cu fotografii sau documente de lucru poate fi duplicată unitate externă sau pe stocare în cloud. Nu uita cât de important este să folosești versiune licenţiată Windows și instalați actualizări în mod regulat. Patch-urile de securitate sunt lansate de Microsoft în mod regulat, iar cei care le instalează nu au probleme cu astfel de viruși.

Sfârșitul lunii octombrie a acestui an a fost marcat de apariția unui nou virus care a atacat în mod activ computerele utilizatorilor corporativi și casnici. Virus nou este criptograf și se numește Iepure rău, ceea ce înseamnă iepure rău. Acest virus a fost folosit pentru a ataca site-urile mai multor instituții mass-media ruse. Ulterior, virusul a fost descoperit în rețelele de informații ale întreprinderilor ucrainene. Acolo au fost atacate rețelele de informare ale metroului, diverse ministere, aeroporturi internaționale etc. Puțin mai târziu, un atac similar de virus a fost observat în Germania și Turcia, deși activitatea sa a fost semnificativ mai mică decât în ​​Ucraina și Rusia.

Un virus rău intenționat este un plugin special care, odată ce ajunge la un computer, își criptează fișierele. După ce informațiile au fost criptate, atacatorii încearcă să obțină recompense de la utilizatori pentru decriptarea datelor lor.

Răspândirea virusului

Specialiștii din laboratorul programului antivirus ESET au analizat algoritmul căii de răspândire a virusului și au ajuns la concluzia că este un virus modificat care se răspândea nu cu mult timp în urmă, precum virusul Petya.

Specialiștii din laboratorul ESET au stabilit că pluginurile rău intenționate au fost distribuite din resursa 1dnscontrol.com și adresa IP IP5.61.37.209. Mai multe alte resurse sunt, de asemenea, asociate cu acest domeniu și IP, inclusiv secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Experții au investigat că proprietarii acestor site-uri au înregistrat multe resurse diferite, de exemplu, cele prin care încearcă să vândă medicamente contrafăcute folosind mesaje spam. Specialiști ESET Nu este exclus ca principalul atac cibernetic să fi fost realizat cu ajutorul acestor resurse, folosind spam-mailing și phishing.

Cum apare infecția cu virusul Bad Rabbit?

Specialiștii de la Laboratorul de criminalistică informatică au efectuat o investigație asupra modului în care virusul a intrat în computerele utilizatorilor. S-a descoperit că, în majoritatea cazurilor, virusul ransomware Bad Rabbit a fost distribuit ca o actualizare pentru Adobe Flash. Adică, virusul nu a exploatat nicio vulnerabilitate sistem de operare, dar a fost instalat chiar de utilizatori, care, fără să știe, au aprobat instalarea acestuia, crezând că actualizează pluginul Adobe Flash. Când virusul a intrat retea locala, a furat date de conectare și parole din memorie și s-a răspândit în mod independent la alte sisteme informatice.

Cum hackerii stoarc bani

După ce virusul ransomware a fost instalat pe computer, acesta criptează informațiile stocate. În continuare, utilizatorii primesc un mesaj care indică faptul că, pentru a avea acces la datele lor, trebuie să efectueze o plată pe un site specificat de pe darknet. Pentru a face acest lucru, mai întâi trebuie să instalați un browser special Tor. Pentru a debloca computerul, atacatorii storc la plata în valoare de 0,05 bitcoin. Astăzi, la un preț de 5.600 USD pentru 1 Bitcoin, înseamnă aproximativ 280 USD pentru a debloca un computer. Utilizatorului i se acordă o perioadă de timp de 48 de ore pentru a efectua plata. După această perioadă, dacă suma necesară nu a fost transferată în contul electronic al atacatorului, suma crește.

Cum să te protejezi de virus

1. Pentru a vă proteja de infectarea cu virusul Bad Rabbit, ar trebui să blocați accesul din mediul informațional la domeniile de mai sus.
2. Pentru utilizatorii casnici, trebuie să actualizați curentul versiuni Windows si de asemenea program antivirus. În acest caz, fișierul rău intenționat va fi detectat ca un virus ransomware, ceea ce va exclude posibilitatea instalării acestuia pe computer.
3. Acei utilizatori care folosesc sistemul de operare antivirus încorporat sisteme Windows, au deja protecție împotriva acestor ransomware. Este implementat în aplicație Windows Defender Antivirus.
4. Dezvoltatorii programului antivirus de la Kaspersky Lab sfătuiesc toți utilizatorii să își facă periodic copii de rezervă ale datelor. În plus, experții recomandă blocarea execuției fișierelor c:\windows\infpub.dat, c:\WINDOWS\cscc.dat și, de asemenea, dacă este posibil, utilizarea serviciului WMI ar trebui interzisă.

Concluzie

Fiecare utilizator de computer ar trebui să-și amintească că securitatea cibernetică ar trebui să fie pe primul loc atunci când lucrează în rețea. Prin urmare, ar trebui să vă asigurați întotdeauna că utilizați numai resurse de informații dovedite și că utilizați cu atenție e-mailŞi social media. Prin aceste resurse se răspândesc cel mai adesea diferiți viruși. Regulile de bază de comportament în mediul informațional vor ajuta la eliminarea problemelor care apar în timpul unui atac de virus.

Pe 24 octombrie, mass-media rusă, precum și companiile de transport și agențiile guvernamentale din Ucraina, au fost atacate de ransomware-ul Bad Rabbit. Potrivit unor surse deschise, printre victime se numără metroul din Kiev, aeroportul Odesa, Ministerul Infrastructurii al Ucrainei, redacția Interfax și Fontanka.

Potrivit laboratorului de virus ESET, atacul asupra metroului din Kiev a folosit malware Diskcoder.D, o nouă modificare a criptatorului cunoscut sub numele de Petya.

Specialisti in securitatea informatiei Grupul-IB a constatat că atacul era pregătit de câteva zile. ESET avertizează că ransomware-ul pătrunde în computer printr-o actualizare falsă a pluginului Adobe Flash. După aceea, infectează computerul și criptează fișierele de pe acesta. Apoi, pe monitor apare un mesaj care spune că computerul este blocat, iar pentru a decripta fișierele trebuie să accesați site-ul web Bad Rabbit - caforssztxqzf2nm.onion prin browser-ul Tor.

Epidemiile de ransomware WannaCry și NotPetya au arătat că este necesară actualizarea la timp programe instalateși sistem, precum și să facă copii de rezervă pentru a nu rămâne fără informatii importante după un atac de virus.

Cu toate acestea, dacă apare o infecție, experții de la Group-IB nu recomandă plata răscumpărării, deoarece:

• în felul acesta îi ajuți pe criminali;
• Nu avem nicio dovadă că datele celor care au plătit au fost restaurate.

Cum să vă protejați computerul de infecția Bad Rabbit?

Pentru a evita să deveniți o victimă a noii epidemii Bad Rabbit, experții Kaspersky Lab recomandă să faceți următoarele:

Pentru utilizatorii soluțiilor antivirus Kaspersky Lab:

• Verificați dacă soluția dvs. de securitate include componente Kaspersky Security Monitor de rețea și activitate (aka System Watcher). Dacă nu, asigurați-vă că îl porniți.

Pentru cei care nu folosesc soluțiile antivirus Kaspersky Lab.

Ieri, 24 octombrie 2017, mass-media rusă, precum și o serie de agenții guvernamentale ucrainene, au fost atacate de atacatori necunoscuți. Printre victime s-au numărat Interfax, Fontanka și cel puțin o altă publicație online fără nume. În urma presei, au fost semnalate și probleme Aeroportul international„Odesa”, Metroul Kiev și Ministerul Infrastructurii din Ucraina. Potrivit unui comunicat al analiștilor Group-IB, infractorii au încercat să atace și infrastructurile bancare, dar aceste încercări au fost fără succes. Specialiștii ESET susțin, la rândul lor, că atacurile au afectat utilizatori din Bulgaria, Turcia și Japonia.

După cum sa dovedit, întreruperile în activitatea companiilor și agențiilor guvernamentale au fost cauzate nu de atacuri masive DDoS, ci de un ransomware numit Bad Rabbit (unii experți preferă să scrie BadRabbit fără spațiu).

Ieri, se știa puțin despre malware și mecanismele de funcționare a acestuia: s-a raportat că ransomware-ul cere o răscumpărare de 0,05 bitcoin, iar experții Group-IB au mai spus că atacul se pregătește de câteva zile. Astfel, pe site-ul atacatorilor au fost descoperite două scripturi JS, iar, judecând după informațiile de pe server, unul dintre ele a fost actualizat pe 19 octombrie 2017.

Acum, deși nu a trecut nici măcar o zi de la începutul atacurilor, analiza ransomware-ului a fost deja efectuată de specialiști din aproape toate companiile de top în securitatea informațiilor din lume. Deci, ce este Bad Rabbit și ar trebui să ne așteptăm la o nouă „epidemie de ransomware” precum WannaCry sau NotPetya?

Cum a reușit Bad Rabbit să provoace întreruperi majore de media cu actualizări false Flash? Conform ESET , EmsisoftŞi Fox-IT, după infectare, malware-ul folosea utilitarul Mimikatz pentru a extrage parolele din LSASS și avea, de asemenea, o listă cu cele mai comune autentificări și parole. Malware-ul a folosit toate acestea pentru a se răspândi prin SMB și WebDAV către alte servere și stații de lucru situate în aceeași rețea cu dispozitivul infectat. În același timp, experții din companiile enumerate mai sus și angajații Cisco Talos cred că în acest caz, nu au existat instrumente furate de la agențiile de informații care să exploateze defectele IMM-urilor. Lasă-mă să-ți amintesc asta Virușii WannaCryși NotPetya au fost distribuite folosind acest exploit special.

Cu toate acestea, experții au reușit totuși să găsească unele asemănări între Bad Rabbit și Petya (NotPetya). Astfel, ransomware-ul nu numai că criptează fișierele utilizatorului folosind open source DiskCryptor, dar modifică MBR (Master Boot Record), după care repornește computerul și afișează un mesaj de răscumpărare pe ecran.

Deși mesajul cu revendicările atacatorilor este aproape identic cu mesajul de la operatorii NotPetya, experții au păreri ușor diferite cu privire la legătura dintre Bad Rabbit și NotPetya. Astfel, analiștii de la Intezer au calculat că codul sursă al malware-ului

La sfârșitul anilor 1980, virusul SIDA („PC Cyborg”), scris de Joseph Popp, ascundea directoare și fișiere criptate, necesitând plata a aproximativ 200 USD pentru o „reînnoire a licenței”. La început, ransomware-ul era destinat doar oamenilor obișnuiți care foloseau computere care rulează Control Windows, dar acum amenințarea în sine a devenit o problemă serioasă pentru afaceri: apar tot mai multe programe, devin din ce în ce mai ieftine și mai accesibile. Extorcarea folosind programe malware este principala amenințare cibernetică în 2/3 țări din UE. Unul dintre cei mai obișnuiți viruși ransomware, CryptoLocker, a infectat peste un sfert de milion de computere din țările UE din septembrie 2013.

În 2016, numărul atacurilor de tip ransomware a crescut brusc – conform analiștilor, de peste o sută de ori față de anul precedent. Aceasta este o tendință în creștere și, după cum am văzut, companii și organizații complet diferite sunt atacate. Amenințarea este relevantă și pentru organizațiile non-profit. Deoarece pentru fiecare atac major, programele rău intenționate sunt actualizate și testate de atacatori pentru a „trece” protecția antivirus, antivirusurile, de regulă, sunt neputincioși împotriva lor.

Pe 12 octombrie, Serviciul de Securitate al Ucrainei a avertizat cu privire la probabilitatea unor noi atacuri cibernetice la scară largă asupra agențiilor guvernamentale și companiilor private, similar cu epidemia de ransomware din iunie. Nu Petya. Potrivit serviciului de informații ucrainean, „atacul ar putea fi efectuat folosind actualizări, inclusiv aplicații software disponibile public”. Să ne amintim că în cazul unui atac NuPetya, pe care cercetătorii l-au legat de grupul BlackEnergy, primele victime au fost companiile care le-au folosit software Dezvoltator ucrainean al sistemului de management al documentelor „M.E.Doc”.

Apoi, în primele 2 ore, au fost atacate companii de energie, telecomunicații și financiare: Zaporozhyeoblenergo, Dneproenergo, Nipru Electric Power System, Mondelez International, Oschadbank, Mars, Nova Poshta, Nivea, TESA, Kiev Metro, calculatoarele Cabinetului de Miniștri și Guvernul Ucrainei, magazine „Auchan”, operatori ucraineni („Kyivstar”, LifeCell, „UkrTeleCom”), Privatbank, aeroportul Boryspil.

Puțin mai devreme, în mai 2017, virusul ransomware WannaCry a atacat 200.000 de computere din 150 de țări. Virusul s-a răspândit prin rețelele universităților din China, fabricile Renault din Franța și Nissan din Japonia, compania de telecomunicații Telefonica din Spania și operatorul feroviar Deutsche Bahn din Germania. Din cauza blocării computerelor din clinicile din Marea Britanie, operațiunile au trebuit să fie amânate, iar unitățile regionale ale Ministerului rus al Afacerilor Interne nu au putut elibera permise de conducere. Cercetătorii au spus că în spatele atacului s-au aflat hackeri nord-coreeni de la Lazarus.

În 2017, virușii de criptare au atins un nou nivel: utilizarea instrumentelor din arsenalele serviciilor de informații americane și a noilor mecanisme de distribuție de către infractorii cibernetici au dus la epidemii internaționale, dintre care cele mai mari au fost WannaCry și NotPetya. În ciuda amplorii infecției, ransomware-ul în sine a colectat sume relativ nesemnificative - cel mai probabil acestea nu au fost încercări de a câștiga bani, ci de a testa nivelul de protecție a rețelelor de infrastructură critică ale întreprinderilor, agențiilor guvernamentale și companiilor private.