Вчера Украинские компании подверглись очередной атаке вируса-шифровальщика. На этот раз злоумышленники использовали вирус Bad Rabbit – модификацию вируса Petya.А, который заразил компьютеры летом этого года.
Компания Group-IB, занимающаяся расследованиями киберпреступлений, уже выяснила некоторые факты последней кибератаки и поделилась данными с общественностью. Отмечается, что вирус-шифровальщик Bad Rabbit связан с пятью ресурсами, на владельцев которых зарегистрировано множество других сайтов, в том числе фарма-партнерок (сайты, продающие поддельные медикаменты через спам).
«Не исключено, что они использовались для рассылки спама, фишинга», — отмечается в сообщении.
После захода на зараженный ресурс пользователю предлагалось обновить flash-плеер. В случае нажатия кнопки данные на его компьютере зашифровывались. Вирус также крал пароли с его устройства и с их помощью зашифровывал другие компьютеры, находящиеся с ним в одной сети, — рассказали в Group-IB.
Ранее эксперты лаборатории ESET сообщили о «сотне атак» с использованием Bad Rabbit (типа вируса — Win32/Filecoder.Locky.D). Большинство срабатываний антивирусных продуктов ESET пришлось на Россию и Украину, затронуты оказались также Турция, Болгария. Как стало известно позднее, на Россию пришлось 65% атак, на Украину — 12,2%, Болгарию — 10,2%, Турцию — 6,4%, Японию — 3,8%, на другие страны — 2,4%.
Специалисты ESET установили, что вредоносное ПО использует инструмент Mimikatz для извлечения учетных данных из зараженных систем. Кроме того, указывают эксперты, им удалось установить, что именно Diskcoder.D был задействован во время хакерской атаки на Киевский метрополитен.
В Украине 24 октября кибератаке подверглись Одесский аэропорт, Киевский метрополитен, а также Министерства инфраструктуры Украины. Государственная служба специальной связи и защиты информации накануне заявила, что в кибератаке на объекты инфраструктуры Украины использовали технику DDE.
К вечеру 24 октября СБУ сообщила о блокировании кибератаки. По информации Госспецсвязи, объекты инфраструктуры были атакованы вирусом-шифровальщиком Locky. Скрипт загружал в систему с одного из доступных на момент активации url… исполняемый файл heropad64.exe, который в свою очередь загружал на компьютер пользователя вирус-шифровальщик Locky.
Также пресс-служба Службы безопасности Украины опубликовала рекомендации по предотвращению несанкционированного блокирования информационных систем.
