Пользователи сами пускали «Плохого кролика» в свои компьютеры

Вирус-шифровальщик BadRabbit, атаковавший российские и украинские компании, а том числе аэропорт и метрополитен, распространялся в интернете под видом FlashPlayer с IP адреса, связанного с другими сайтами, замеченными в распространении спама и фишинге, сообщила лаборатория компьютерной криминалистики Group-IB. В компании заявили, что основная волна заражений прошла. 

24 октября, атаке вируса подверглись сайты российских СМИ: «Интерфакса», «Аргументов недели» и «Фонтанки». Кроме того, пострадали Киевский метрополитен, международный аэропорт Одессы и Министерство инфраструктуры Украины. Злоумышленники предприняли безуспешные попытки атаковать и российские банки из топ-20. Также сообщения о заражении поступали из Германии, Болгарии и Турции. Group-IB сообщила, что шифровальщик BadRabbit начал проявлять активность в 13:27. 

«Заражение происходило после захода на взломанные легитимные сайты. Специалистами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика с взломанных интернет-ресурсов», — сообщается на сайте Group-IB.

«После захода на зараженный ресурс пользователю предлагалось обновить flash-плеер. В случае нажатия кнопки данные на его компьютере зашифровывались. Вирус также крал пароли с его устройства и с их помощью зашифровывал другие компьютеры, находящиеся с ним в одной сети», — цитирует РБК замруководителя лаборатории компьютерной криминалистики Group-IB Сергея Никитина.

При активации вируса на экране открывался текст красного цвета на черном фоне с указанием индивидуального кода и адреса сайта в сети Tor, на котором запускался автоматический счетчик. После ввода кода на сайте открывался биткойн-кошелек. Распространители вируса требовали перевести 0,05 биткойна (283 доллара) за освобождение от шифрования. А счетчик времени на странице показывал, сколько осталось до повышения стоимости.

По информации Group-IB, злоумышленники готовились к атаке несколько дней. Кроме того, домен был зарегистрирован еще в 2016 году. «С ним связано множество других вредоносных доменов, первая активность которых относится еще к 2011 году. Возможно, эти домены тоже являются скомпрометированными и могут использоваться для проведения аналогичных атак, рассылки спама, фишинга», — рассказали специалисты.

Вирусная лаборатория ESET обнаружила, что при атаке 24 октября использовалось вредоносное ПО Diskcoder.D — новая модификация шифратора, известного как Petya. Оно использует «инструмент Mimikatz для извлечения учетных данных в зараженных системах. Кроме того, в нем предусмотрен жестко закодированный список учетных данных», — сообщается на сайте ESET.

Как сообщила лаборатория, из сотни атак «на Россию пришлось 65%, Украину — 12,2%, Болгарию — 10,2%, Турцию — 6,4%, Японию — 3,8%, на другие страны — 2,4%».

Летом, 27 июня, атаке вируса Petya подверглись крупнейшие компании в России и на Украине. В числе пострадавших «Роснефть», «Башнефть», сеть гипермаркетов «Ашан», банк «Хоум Кредит», «Укрэнерго», «Киевэнерго», Ощадбанк, Укрсоцбанк, Укргазбанк, ОТП Банк, ПриватБанк и другие. В соцсетях сообщали о поражении вирусом банкоматов некоторых украинских банков. На Украине Petya заразил все компьютеры кабинета министров. Вирусная атака не обошла стороной АЭС в Чернобыле. В результате на атомной электростанции из строя вышли некоторые компьютеры и полностью остановилась система документооборота.