Работу агентства "Интерфакс" парализовал вирус-шифровальщик

октябрь 25, 2017

Информационное агентство "Интерфакс" прилагает все усилия, чтобы возобновить работу, которую остановила хакерская атака, сообщает "Эхо Москвы".

Вирус-шифровальщик Petya
habrahabr.ru

Первый заместитель гендиректора агенства Алексей Горшков рассказал, что из строя вышли практически все сервисы: информационные системы СПАРК и СКАН, сайт и внутренние системы.

Одновременно с "Интерфаксом" атаке подверглись петербургское издание "Фонтанка", "Аргументы недели" и ряд объектов в Турции, Болгарии и Украине (Киевский метрополитен, международный аэропорт Одессы). 

Домен, с которого раздавалась вредоносная программа, уже не отвечает, ТАСС замглавы лаборатории компьютерной криминалистики компании Group-IB, специализирущейся на предотвращении киберпреступлений, Сергей Никитин.

"Ведомости" со ссылкой на антивирусную компанию Eset , что вирус-шифровальщик Bad Rabbit ("Плохой кролик") — родственник нашумевшего вируса Petya.

Загрузка вредоносного ПО шла с ресурса 1dnscontrol.com,  на сайте Group-IB. Его доменное имя было зарегистрировано 22 марта 2016 года и продлевается до сих пор. "С ним связано множество других вредоносных доменов, первая активность которых относится еще к 2011 г.", — отмечают эксперты.

Специалисты Group-IB выяснили, что вирус распространялся с помощью веб-трафика с взломанных интернет-ресурсов. После заражения на экране компьютера появлялось поддельное окно, предлагающее установить обновление Flash плеера. В случае согласия, начиналось скачивание и запуск вредоносного файла. Затем пользователь мог видеть окно с адресом сайта в сети и код, который нужно было ввести для появления биткоин-кошелька. За разблокировку компьютера злоумышленники требовали перевести 0,05 биткойна (около $283). Также, на странице сайта шел отсчет времени до увеличения стоимости выкупа.

Никаких уязвимостей вообще не было, пользователи сами запускали файл. В локальной сети BadRabbit крал из памяти логины и пароли и мог самостоятельно устанавливаться на другие компьютеры. Это происходило с помощью программы Mimikatz.

Сайт "Интерфакса" до сих пор не работает.

Справка

Bad Rabbit стал уже третьей вирусной эпидемией за 2017 г. В мае 2017 г., вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Тогда исследователи пришли к выводу, что за атакой стоят северокорейские хакеры из Lazarus. Затем 27 июня вирус Petya (NotPetya и ExPetr) проник в 12 500 компьютеров в 65 странах. Атаку NotPetya исследователи связывали с группой BlackEnergy.