• Партнер

  • Сегодня, 24 октября 2017 года, во второй половине дня от крупных российских СМИ начали поступать сообщения о кибератаках, спровоцировавших перебои в работе ресурсов.

    На данный момент известно об атаках на «Интерфакс», «Фонтанку» и как минимум еще одно неназванное интернет-издание. Вслед за СМИ о проблемах также начали сообщать госучреждения и компании на Украине, в частности об атаке заявили Международный аэропорт «Одесса», Киевский метрополитен и Министерство инфраструктуры, чей сайт сейчас недоступен.

    ШАНОВНІ КЛІЄНТИ ТА ПАРТНЕРИ МІЖНАРОДНОГО АЕРОПОРТУ «ОДЕСА». Повідомляємо, що інформаційна система Міжнародного аеропорту...

    Posted by Odesa International Airport / Международный аэропорт Одесса on Tuesday, 24 October 2017

    Если после поступления первых сообщений логично было заподозрить, что речь идет о DDoS-атаках, оказалось, что это не так. Основатель компании Group-IB Илья Сачков сообщил на своей странице в Facebook, что происходящее – новая эпидемия шифровальщика, получившего название Badrabbit:

    «Сейчас началось то, о чем мы предупреждали — новая волна шифровальщика Badrabbit атакующего российские СМИ. Group-IB достоверно известно о трех успешных атаках сегодня. Судя по экранам компьютеров не похоже на петю или wannacry», — пишет Сачков и уточняет, что эксперты компании уже занимаются расследованием происходящего.

    Наиболее оперативные сводки «с полей» сейчас поступают через Telegram-канал Group-IB, где уже были опубликованы скриншоты экрана блокировки Badrabbit (на иллюстрациях ниже). Известно, что шифровальщик требует 0,05 биткоина ($300) выкупа от своих жертв. Также сообщается, что целевая атака готовилась несколько дней. На сайте злоумышленников было обнаружено два JS-скрипта, и, судя по информации с сервера, один из них обновлялся 19 октября 2017 года, то есть пять дней назад.

    РБК сообщает, что сотрудники «Интерфакса» тоже подтвердили, что происходит именно атака шифровальщика. «Суть в том, что вирус запустили на сервер. А все компы, соответственно, к нему подключены. Поэтому заразиться мог любой», — рассказал источник представителям РБК.

    Судя по всему, речь идет о таргетированных атаках, которые направлены в первую очередь на крупные СМИ и украинские госучреждения, а не о такой «ковровой бомбардировке», как мы могли наблюдать в случае с шифровальщиком WannaCry.

    Как именно распространяется малварь, пока неизвестно. ][ продолжит следить за развитием ситуации.

    UPD 19:45

    Специалисты "Лаборатории Касперского" подготовили первый анализ происходящего. Подробности атаки и способа распространения заразы по-прежнему не известны, как не известно и то, возможно ли расшифровать файлы.
    Однако исследователи пишут, что  все признаки указывают на то, что происходит целенаправленная атака на корпоративные сети. Злоумышленники используют методы, похожие на те, которые наблюдались в время атак шифровальщика NotPetya.

    Чтобы защититься от атак, специалисты советуют предпринять следующие шаги:

    • заблокируйте исполнение файлов c:\windows\infpub.dat, C:\Windows\cscc.dat;
    • запретите (если это возможно) использование сервиса WMI.

    Фото: Group-IB

    Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии