Во вторник, 24 октября 2017 года, вирус-шифровальщик атаковал несколько крупных российских интернет изданий и ряд украинских госучреждений. Среди пострадавших оказались «Интерфакс», «Фонтанка» и еще как минимум одно не названное интернет-издание. Также вирус поразил Международный аэропорт Одессs, Киевский метрополитен и украинское министерство культуры. По заявлениям аналитиков из Group-IB, целью были крупнейшие российские банки, входящие в ТОП-20.
Вирусу присвоили имя BadRabbit. Механизм его поведения очень схож с вирусами-шифровальщиками WannaCry и Petya/NotPetya, которые в свое время устроили настоящую интернет-эпидемию. Однако аналитики компании Intezer подсчитали, что код совпадает лишь на 13%.
Некоторые отметили сходство с вирусом Locky, в коде которого были зашифрованы имена трех драконов — Drogon, Rhaegal, Viserion, — так же это было в составе вируса BadRabbit.
Специалисты из ESET, Proofpoint и «Лаборатории Касперского» установили, что вирус проникал через поддельное обновление Flash Player, подписанное к тому же поддельными сертификатами Symantec. Фактический пользователь сам скачивал зараженный файл и устанавливал его себе на компьютер. Далее вирус шифровал все данные до которых мог дотянуться (HDD, USB Flash, CD/DVD-образы), распространялся по корпоративной сети через протокол SMB, перезагружал систему и требовал выкуп в размере 0.05 BTC. Взамен он обещает прислать открытый ключ, без которого невозможно разблокировать данные.
Атака готовилась несколько дней и распространялась сразу на несколько крупных интернет-изданий. Однако главной целью хакеров были крупные российские банки, в том числе входящие в ТОП-20. Но защита финансовых институтов оказалась более совершенной, и они смогли отразить атаку.
«Атак на банки очень много, они регулярно происходят, там уже своевременно озаботились этими проблемами. На данный момент распространение вируса практически полностью завершено», — рассказал заместитель руководителя лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин.
Вирус добрался до тысячи пользователей из разных стран, в том числе и из Турции, Германии, Болгарии и Южной Кореи. На Украине под удар попали информационная система международного аэропорта Одессы и Киевского метрополитена.
«Одесский аэропорт подвергся массовой кибератаке — несколько рейсов были задержаны, а регистрация проходила в ручном режиме», — сообщалось в эфире «7 канала» (Украина).
Массовое заражение компьютеров вымогателем BadRabbit удалось остановить, однако специалисты по кибербезопасности рекомендуют пользователям Windows перестраховаться, заблокировав исполнение файлов c:\windows\infpub.dat и C:\Windows\cscc.dat и запретив использование сервиса WMI. Или же создать файл C\:windowsinfpub.dat и поставить доступ "только для чтения", тогда BadRabbit не сможет зашифровать файлы даже в случае заражения компьютера.