Bad Rabbit

Bad Rabbit (рус. «Плохой кролик») — вирус-шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года[1]. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.

Bad Rabbit
Файл:59ef6c3afc7e933b0c8b456b.jpg
Уже атакованный вирусом компьютер
Тип Вирус-вымогатель, сетевой червь
Год появления 24 октября 2017
(начало массовой атаки)
Описание Symantec
Описание Securelist

По оценке Symantec вирус имеет низкий уровень угрозы[2]. 25 октября серверы, обеспечивавшие начальное заражение Bad Rabbit, были остановлены[3].

История

24 октября 2017 года, вирус шифровальщик атаковал ряд российских СМИ, включая ИА «Интерфакс» и интернет-газету «Фонтанка», а также киевское метро и аэропорт Одесса, требуя за разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в течение 48 часов[4][5][6]. Также, в меньшей степени, атаке подверглись Турция и Германия[7][8]. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток[9][10]. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов», а именно имена трех драконов — Дрогона, Рейгаля и Визериона[11][12][13][14].

Метод атаки

Для первоначальной установки Вирус не использует каких-либо эксплойтов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для Adobe Flash Player, должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством UAC Windows[15].

После установки приложение регистрируется в штатном механизме планирования заданий и начинает самостоятельное распространение по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой Mimikatz и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей[15]. По данным Cisco Talos, компонент распространения вируса дополнительно использует технологии и коды АНБ «EternalRomance», которые ранее были опубликованы группой Shadowbrokers (ошибка в кодах SMB, исправлена Microsoft в марте 2017)[16][17].

Приложение производит шифрование файлов по алгоритмам AES-128-CBC и RSA-2048[1].

В нарушение лицензии GPLv3 приложение Bad Rabbit пользуется кодами и драйвером из проекта DiskCryptor[15][18][19], но при этом не публикует изменённых исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.

См. также

Примечания

  1. Орхан Мамедов, Федор Синицын, Антон Иванов. Шифровальщик Bad Rabbit. Лаборатория Касперского (25 октября 2017). Дата обращения: 27 октября 2017.
  2. Benjamin Moench Ransom.BadRabbit. Technical Details / Symantec Security Response
  3. Lorenzo Franceschi-Bicchierai. Infrastructure for the ‘Bad Rabbit’ Ransomware Appears to Have Shut Down (англ.), Vice (Oct 25 2017). Дата обращения 27 октября 2017.
  4. Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ. ТАСС (24 октября 2017). Дата обращения: 26 октября 2017.
  5. Иван Гусев. Россию атаковал новый вирус-вымогатель "Плохой кролик". Life (24 октября 2017). Дата обращения: 26 октября 2017.
  6. Полина Духанова. «Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ. RT (24 октября 2017). Дата обращения: 26 октября 2017.
  7. Алексей Шароглазов. Названы жертвы атаки вируса-шифровальщика Bad Rabbit. Известия (24 октября 2017). Дата обращения: 26 октября 2017.
  8. Вирус-вымогатель атаковал жертв через сайты СМИ. Вести.net (25 октября 2017). Дата обращения: 28 декабря 2017.
  9. Кристина Жукова. Восстановлена работа пострадавших от вируса Bad Rabbit СМИ. Коммерсантъ (25 октября 2017). Дата обращения: 26 октября 2017.
  10. 'Bad Rabbit' ransomware strikes Ukraine and Russia (англ.). BBC News (26 октября 2017). Дата обращения: 27 октября 2017.
  11. Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов». Лента.ру (25 октября 2017). Дата обращения: 26 октября 2017.
  12. Роман Босиков. Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов". Life (25 октября 2017). Дата обращения: 26 октября 2017.
  13. В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов». Пятый канал (26 октября 2017). Дата обращения: 26 октября 2017.
  14. Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов». CHIP (26 октября 2017). Дата обращения: 26 октября 2017.
  15. Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya
  16. NICK BIASINI. Threat Spotlight: Follow the Bad Rabbit (англ.). Talos Intelligence (OCTOBER 24, 2017). Дата обращения: 27 октября 2017.
  17. SEAN GALLAGHER. Bad Rabbit used NSA “EternalRomance” exploit to spread, researchers say (англ.), ARS Technica (OCT 26, 2017). Дата обращения 27 октября 2017.
  18. New wave of data-encrypting malware hits Russia and Ukraine (англ.)
  19. Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… »
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.