•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ  
«Лаборатория Касперского»: Bad Rabbit - это целенаправленная атака на корпоративные сети

«Лаборатория Касперского»: Bad Rabbit - это целенаправленная атака на корпоративные сети

Местоположение: Россия, Москва, 125212 Ленинградское шоссе, д.39А, стр.3 БЦ «Олимпия Парк» Посмотреть на карте

В 2017 году уже было зафиксировано две крупнейших эпидемии шифровальщиков — мы говорим про здорово нашумевшие WannaCry и ExPetr (он же Petya и одновременно NotPetya) — а теперь, похоже, начинается третья. На этот раз шифровальщика зовут Bad Rabbit — по крайней мере такое имя написано на странице в даркнете, на которую его создатели отправляют за выяснением деталей.

Пока что предположительно от этого шифровальщика пострадали несколько российских медиа — среди них Интерфакс и Фонтанка. Также о хакерской атаке — возможно, связанной с тем же Bad Rabbit, — сообщает аэропорт Одессы.

За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам или 15 700 рублям.

Результаты нашего исследования говорят о том, что Bad Rabbit распространяется через зараженные веб-сайты: пользователи скачивают фальшивый установщик Adobe Flash, вручную запускают его и тем самым заражают свои компьютеры. Наши эксперты обнаружили несколько сайтов, распространяющих данного зловреда, все они принадлежат к категории СМИ.

Большинство жертв атаки находятся в России. Также мы наблюдаем похожие атаки в Украине, Турции и Германии, но в значительно меньшем количестве. Зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети. Используются методы, похожие на те, что мы наблюдали в атаке ExPetr.

Количество попыток атак WannaCry, задетектированных «Лабораторией Касперского» в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.

badrabbit_1.gif

К настоящему моменту эксперты «Лаборатории Касперского» собрали достаточно данных, чтобы связать атаку Bad Rabbit и эпидемию зловреда ExPetr, случившуюся в июне этого года. По нашим данным, часть кода, использованная в Bad Rabbit, в свое время засветилась и в ExPetr. Также схож список сайтов, использованных для распространения зловредов (часть сайтов была взломана еще в июне, но не задействовалась в атаке), совпадают и техники распространения – оба зловреда использовали для расселения по корпоративным сетям Windows Management Instrumentation Command-line (WMIC). Однако есть и различия: в отличие от ExPetr, при заражении Bad Rabbit не полагается на эксплойт Eternal Blue. Ну а для распространения по сети он использует эксплойт EternalRomance, так же применявшийся в ExPetr.

Наши эксперты считают, что за ExPetr и Bad Rabbit стоит одна и та же кибергруппировка и что эта группировка готовила атаку Bad Rabbit как минимум с июля 2017-го. Однако, в отличие от ExPetr, Bad Rabbit, похоже, является не вайпером, а шифровальщиком. Он шифрует определенные типы файлов на диске и затем подменяет загрузчик, не позволяя нормально загрузить компьютер. То, что Bad Rabbit — это не вайпер, означает, что у злоумышленников хотя бы потенциально есть возможность расшифровать пароль, который, в свою очередь, используется для расшифровки файлов и нормальной загрузки операционной системы.

К сожалению, наши эксперты пришли к выводу, что на данный момент нет способа расшифровать файлы, не имея на руках ключа шифрования. Однако, если по каким-то причинам Bad Rabbit не зашифровал диск целиком, файлы можно восстановить из теневых копий (если, конечно, теневое копирование было включено еще до заражения). Мы продолжаем изучать зловреда. Больше технических деталей можно найти в публикации на Securelist (English).

________________________________________
 Рекомендуемый продукт: Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ
Надежная защита рабочих мест, обширные возможности по управлению системами и единая консоль управления. от 1094 руб. Подробнее>>
________________________________________

Уже известно, что продукты «Лаборатории Касперского» детектируют зловреда как:

Trojan-Ransom.Win32.Gen.ftl
Trojan-Ransom.Win32.BadRabbit
DangerousObject.Multi.Generic
PDM:Trojan.Win32.Generic
Intrusion.Win.CVE-2017-0147.sa.leak

Чтобы не стать жертвой новой эпидемии «Плохого кролика», рекомендуем сделать следующее:

Для пользователей защитных решений «Лаборатории Касперского»:
Проверьте, включены ли в вашем защитном решении компоненты Kaspersky Security Network и «Мониторинг активности» (он же System Watcher). Если нет — обязательно включите.

Для тех, кто не пользуется защитными решениями «Лаборатории Касперского»:
- Заблокируйте исполнение файла c:\windows\infpub.dat, C:\Windows\cscc.dat.
- Запретите (если это возможно) использование сервиса WMI.

Для всех:
- Сделайте бэкап.
- Не платите выкуп.

Материал подготовлен АО "Лаборатория Касперского"  www.kaspersky.com
_________________________________________
 Ссылка по теме: Каталог программного обеспечения Лаборатории Касперского
Переход в он-лайн магазин Датаситем - официального Поставщика Kaspersky Lab в Российской Федерации. Перейти на сайт Поставщика>>
_________________________________________

Sec-cen sm.png Для отправки запроса по продуктам Kaspersky Lab заполните Форму "Консультация".
- Консультация по программам Лаборатории Касперского;
- Стоимость Антивируса Касперского ;
- Специальные цены на Антивирус Касперского.


Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Стахановец 7.0 Возможности новой версии.

Стахановец 7.0 Возможности новой версии.

Сравнение возможностей актуальных версий "Стахановец" 5.0, "Стахановец" 6.0, и "Стахановец" 7.0

«Аладдин Р.Д.» объявил о выпуске новой версии JC-WebClient – 4.0

«Аладдин Р.Д.» объявил о выпуске новой версии JC-WebClient – 4.0

JC-WebClient 4.0 решает задачи аутентификации, электронной подписи и шифрования данных в Web-приложениях и облачных сервисах.

Zecurion: Новые возможности Решения Zecurion DLP 8.0

Zecurion: Новые возможности Решения Zecurion DLP 8.0

Zecurion выпустил DLP 8.0 с поддержкой поведенческого анализа (UBA) и обновлённым веб-интерфейсом

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.