Эксперт Group-IB об атаке BadRabbit: выкуп не гарантировал разблокировки

[Tomcat_MkII]

 

24 октября вирус BadRabbit атаковал ряд российских СМИ («Фонтанка», «Интерфакс») и госучреждений Украины («Киевский метрополитен», Министерство инфраструктуры, аэропорт «Одесса»). Сведения о заражении также поступали из Турции и Германии.

 

Злоумышленники блокировали файлы на компьютерах и требовали выкуп в 0.05 биткоина (примерно $280) за каждый. По требованиям хакеров, перевод средств должен был произойти в течение 48 часов с момента заражения. В противном случае атакованному компьютеру была обещана «блокировка навсегда».

Что собой представляет BadRabbit

Вирус распространяется только на ОС Windows, хакеры требуют перейти на сайт в даркнете caforssztxqzf2nm.onion, где находился кошелек для оплаты выкупа. Сам вирус распространялся с домена 1dnscontrol.com, IP 5.61.37.209.

 

Стало известно, что BadRabbit является модифицированной версией NotPetya. Так, специалисты по кибербезопасности компании Group-IB, сообщили, что найдены соответствующие совпадения в кодах двух «червей»: в NotPetya содержался такой же алгоритм вычисления хеш-суммы. Главное отличие заключается в том, что начальный вектор инициализации в случае NotPetya 0x12345678, а BadRabbit – 0x87654321. К тому же сама функция вычисления хеша была скомпилирована в виде отдельной функции компилятором.

 Что говорит отчёт

Как говорится в отчёте, выпущенном Group-IB в четверг, 26 ноября, – вирус распространялся методом drive-by download, то есть пользователь сам загружал и запускал вредоносный файл, прикидывающийся другой программой. Вся информация со взломанных сайтов отправлялась на сервер 185.149.120.3, принадлежавший маркетинговой компании Jetmail – это означает, что их сервер был взломан хакерами в первую очередь, через уязвимость в Apache Tomcat/Coyote JSP engine 1.1. В свое время севернокорейская группа Lazarus использовала эту же брешь для проведения своих атак на банки.

 

После попадания вредоносного файла в компьютер пользователя происходила инициализация вирусной программы и удаление системного файла C:\windows\infpub.dat.

 

Анализ сайта caforssztxqzf2nm.onion показал, что в последний раз страница обновлялась 19 октября, а значит, сайт был подготовлен за 5 дней до атаки. Специалисты Group-IB добавляют, что домен 1dnscontrol.com был зарегистрирован 22 марта 2016 года и до сих пор пролонгируется. Существует версия, что он мог уже быть использован в кибермошеннической деятельности и ранее, а значит, создатели BadRabbit могли приобрести его у другой хакерской группы.

 

Самая первая атака произошла 24 октября в 11:17 утра. Всего было скомпрометировано более 20 сайтов из России, Украины, Болгарии, Турции, Германии, Японии и Чехии. Сам вредоносный файл был скомпилирован 22 октября.

 

Кроме того, эксперты Group-IB считают, что изначально атака была спланирована на 25 октября (об этом говорит анализ файлов на домене в сети TOR), а за всем возможно стоит хакерская организация BlackEnergy.

 

Читать полностью