Новая волна кибератак накрыла Европу

РИГА, 25 окт — Sputnik. Специалисты не исключают повторения волны хакерских атак, которым подвергся накануне ряд стран, сообщает РИА Новости.

Основной удар пришелся на Россию, Украину, Германию и Турцию.

"По нашим наблюдениям, большинство жертв атаки находится в России. Также мы наблюдаем похожие атаки на Украине, в Турции и Германии, но в значительно меньшем количестве. "Зловред" распространяется через ряд зараженных сайтов российских СМИ", — сообщил руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.

Новая волна

Речь идет о вирусе под названием BadRabbit, оно фигурирует на странице в даркнете, куда создатели вируса отправляют за информацией. За расшифровку данных хакеры требуют перевести на их счета сумму в 0,05 биткоина — примерно 232 евро или 15,7 тысячи рублей.

По словам Закоржевского, вирус направлен прежде всего против корпоративных сетей.

"Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем. Мы продолжаем исследовать ситуацию", — пояснил специалист.

Киевский метрополитен и одесский аэропорт заявили, что пострадали в результате кибернападения на применяемые ими банковские и информационные системы. Об атаках на свои сайты сообщили информационное агентство "Интерфакс" и петербургское издание "Фонтанка.ру".

В целях защиты от этой атаки "Лаборатория Касперского" рекомендует использовать обновленные антивирусные базы, а если они не установлены, то эксперты компании советуют запретить исполнение таких файлов, как c:\windows\infpub.dat и c:\windows\cscc.dat с помощью инструментов системного администрирования.

Откуда у кролика ноги растут

В свою очередь, в компании Group-IB, которая специализируется на предотвращении и расследовании киберпреступлений, сообщили, что новый вирус является модификацией предыдущего, поразившего компьютеры по всему миру в конце июня. 

"Судя по всему, мы столкнулись с новой эпидемией. Жертвой вируса-шифровальщика стали не только российские СМИ, но и ряд госучреждений и стратегических объектов на Украине. В ходе анализа установлено, что BadRabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код BadRabbit включает в себя части, полностью повторяющие NotPetya", — говорится в сообщении.

По утверждению специалистов, на связь атаки с использованием BadRabbit с предыдущей атакой NotPetya указывают совпадения в коде. В текущей атаке поменялось количество искомых имен процессов, а сама функция вычисления хеша была скомпилирована в виде отдельной функции компилятором. В атаке используется программа Mimikatz, которая перехватывает на зараженной машине логины и пароли. Также в коде имеются уже прописанные логины и пароли для попыток получения административного доступа.

Банки устояли

Генеральный директор Group-IB Илья Сачков заявил, что вирус безуспешно пытался атаковать российские банки из топ-20.

"Group-IB зафиксировала попытки заражения вирусом инфраструктур ряда российских банков, которые используют систему обнаружения вторжений компании. Эти файлы приходили туда во вторник с 13:00 до 15:00 мск. То есть на банки этот вирус тоже пытались распространить", — сказал Сачков, заметив, что среди них были банки из топ-20.

В Group-IB добавили, что следят за развитием событий.

Служба безопасности Украины накануне вечером заявила, что заблокировала дальнейшее распространение компьютерного вируса, угрозы безопасности движения в метро Киева и в одесском аэропорту нет. Госслужба специальной связи и защиты информации Украины не исключила, что кибератаки на одесский аэропорт и Киевский метрополитен могут быть началом новой волны кибератак на информационные ресурсы Украины.

Глобальная атака вируса-вымогателя 27 июня поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину. Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов.