Add to Flipboard Magazine.
25.10.2017 11:10
Спeциaлисты Group-IB прoaнaлизирoвaли кoд нoвoгo вирусa-шифрoвaльщикa Bad Rabbit и устaнoвили связь с врeдoнoсoм Not Petya, в июнe 2017 г. aтaкoвaвшeм энeргeтичeскиe, телекоммуникационные и финансовые компании на Украине.
Во вторник ряд российских СМИ, а также банки из первой двадцатки атаковал вирус-шифровальщик BadRabbit. О хакерских атаках на свои банковские и информационные системы также сообщили Киевский метрополитен и Одесский аэропорт.
В ходе анализа установлено, что Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования, сообщается в блоге компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений. Код Bad Rabbit включает в себя части, полностью повторяющие NotPetya.
По сообщению специалистов, в атаке NotPetya содержался такой же алгоритм вычисления хеш суммы от имени процесса, с небольшим отличием. Также в текущей атаке поменялось количество искомых имен процессов, а сама функция вычисления хеша была скомпилирована в виде отдельной функции компилятором.
Совпадения в коде указывают на связь атаки с использованием Bad Rabbit с предыдущей атакой NotPetya или их подражателями. Также выявлено, что Bad Rabbit имеет модуль распространения с использованием SMB — сетевого протокола прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам. Попадая на компьютер жертвы, Bad Rabbit сканирует внутреннюю сеть на предмет открытых SMB-директорий.
Также установлено, что в атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. В коде имеются уже прописанные логины и пароли для попыток получения административного доступа.
Заражение началось 24 октября после полудня на Украине и в России: о технических проблемах заявили в Международном аэропорту «Одесса» и Киевском метрополитене (ведомство сообщило о том, что банковские карты к оплате не принимаются), в российском информационном агентстве «Интерфакс». Сообщения о заражении поступили из Турции и Германии.
Специалистами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика с взломанных интернет-ресурсов, среди которых были украинские и российские сайты: fontanka.ru, argumenti.ru, argumentiru.com. На скомпрометированные ресурсы в HTML-код атакующими был загружен JavaScript-инжект, который демонстрировал посетителям поддельное окно, предлагающее установить обновление Adobe Flash плеера.
Если он соглашался на обновление, после клика происходило скачивание и запуск вредоносного файла, а также заражение хоста. Шифрование производится с помощью DiskCryptor. Загрузка вредоносного программного обеспечения происходила с ресурса 1dnscontrol.com. С ним связано несколько других ресурсов, которые могут использоваться для проведения аналогичных атак, рассылки СПАМа, фишинга.
После заражения вредоносное ПО повышало привилегии на локальной машине. Распространение по сети происходило через SMB путем извлечения паролей из LSASS (Local Security Authority Subsystem Service — часть операционной системы Windows, отвечающая за авторизацию локальных пользователей отдельного компьютера) скомпрометированного компьютера либо методом подбора по встроенному словарю.
После этого жертва видит страницу, где указан индивидуальный код и адрес сайта в сети Tor: caforssztxqzf2nm.onion, на котором запускается автоматический счетчик. На сайте необходимо ввести персональный ключ, после чего появится биткоин-кошелек. Злоумышленники требуют перевести 0,05 биткоина (по текущему курсу это около $283). Также на странице сайта идет отсчет времени до увеличения стоимости выкупа.
В Group-IB описывают способ, позволяющий спасти данные: необходимо создать файл C:windowsinfpub.dat и поставить ему права «только для чтения». После этого, даже в случае заражения, файлы не будут зашифрованы.