Первый заместитель гендиректора агенства Алексей Горшков рассказал, что из строя вышли практически все сервисы: информационные системы СПАРК и СКАН, сайт и внутренние системы.
Одновременно с "Интерфаксом" атаке подверглись петербургское издание "Фонтанка", "Аргументы недели" и ряд объектов в Турции, Болгарии и Украине (Киевский метрополитен, международный аэропорт Одессы).
Домен, с которого раздавалась вредоносная программа, уже не отвечает, заявил ТАСС замглавы лаборатории компьютерной криминалистики компании Group-IB, специализирущейся на предотвращении киберпреступлений, Сергей Никитин.
"Ведомости" со ссылкой на антивирусную компанию Eset сообщают, что вирус-шифровальщик Bad Rabbit ("Плохой кролик") — родственник нашумевшего вируса Petya.
Загрузка вредоносного ПО шла с ресурса 1dnscontrol.com, сообщается на сайте Group-IB. Его доменное имя было зарегистрировано 22 марта 2016 года и продлевается до сих пор. "С ним связано множество других вредоносных доменов, первая активность которых относится еще к 2011 г.", — отмечают эксперты.
Специалисты Group-IB выяснили, что вирус распространялся с помощью веб-трафика с взломанных интернет-ресурсов. После заражения на экране компьютера появлялось поддельное окно, предлагающее установить обновление Adobe Flash плеера. В случае согласия, начиналось скачивание и запуск вредоносного файла. Затем пользователь мог видеть окно с адресом сайта в сети и код, который нужно было ввести для появления биткоин-кошелька. За разблокировку компьютера злоумышленники требовали перевести 0,05 биткойна (около $283). Также, на странице сайта шел отсчет времени до увеличения стоимости выкупа.
Никаких уязвимостей вообще не было, пользователи сами запускали файл. В локальной сети BadRabbit крал из памяти логины и пароли и мог самостоятельно устанавливаться на другие компьютеры. Это происходило с помощью программы Mimikatz.
Сайт "Интерфакса" до сих пор не работает.
Справка
Bad Rabbit стал уже третьей вирусной эпидемией за 2017 г. В мае 2017 г., вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Тогда исследователи пришли к выводу, что за атакой стоят северокорейские хакеры из Lazarus. Затем 27 июня вирус Petya (NotPetya и ExPetr) проник в 12 500 компьютеров в 65 странах. Атаку NotPetya исследователи связывали с группой BlackEnergy.
Самое важное - в нашем Telegram-канале
