ИБ-специалисты продолжают изучать шифровальщик Bad Rabbit, в начале текущей недели атаковавший российские и украинские СМИ и организации. Напомню, что жертвами «Плохого кролика» стали «Интерфакс», «Фонтанка», Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры.
Ранее мы уже рассказывали о первых выводах, к которым пришли эксперты ведущих мировых компаний после атаки. Но специалисты продолжают изучать шифровальщика, так что за последние два дня появилось немало новых, небезынтересных подробностей.
Теперь о связи Bad Rabbit с вайпером NotPetya говорят уже повсеместно. Об этом в своих отчетах пишут Bitdefender, Cisco Talos, ESET, Group-IB, Intezer Labs, «Лаборатория Касперского» и Malwarebytes. Все исследователи согласны в одном – у вредоносов, скорее всего, общие корни, так как они весьма похожи, хотя большая часть кода и была переписана. Это значит, что вредоносы могли быть созданы одной хакерской группой. Если теории специалистов верны, то за созданием Bad Rabbit и NotPetya, по всей видимости, стоит группировка TeleBots (она же BlackEnergy и Sandworm Team), которую ранее уже связывали с эпидемией, вызванной NotPetya. Эти же злоумышленники были ответственны за разработку малвари XData и KillDisk, а также стояли за атаками на энергосистему Украины.
Ранее сообщалось, что на скорость распространения Bad Rabbit повлияло использование утилиты Mimikatz , SMB и WebDAV, но при этом злоумышленники обошлись без украденных у АНБ эксплоитов. В частности, специалисты писали, что хакеры не использовали инструмент EternalBlue, эксплуатирующий бреши в SMB. Напомню, что вирусы WannaCry и NotPetya распространялись при помощи именно этого эксплоита.
Теперь выяснилось, что специалисты поспешили с выводами. Аналитики Cisco Talos и F-Secure обнаружили, что похищенные у АНБ хакерские инструменты все же были задействованы во время атаки. Как оказалось, авторы Bad Rabbit использовали не EternalBlue, а похожий эксплоит EternalRomance, тоже эксплуатирующий бреши в SMB. Этот факт был обнаружен не сразу, так как атакующие значительно переделали эксплоит, и автоматическое сканирование его не распознало.
Исследователи Cisco Talos отмечают, что данная версия EternalRomance очень похожа на Python-имплементацию эксплоита использованного для распространения NotPetya. Новый вариант по-прежнему близок к оригинальному EternalRomance, который был опубликован хакерской группой The Shadow Brokers, исходно похитившей кибероружие у АНБ.
Теперь, когда основные технические подробности о Bad Rabbit известны, специалисты пытаются понять, какую цель преследовали авторы малвари. Как уже отмечалось ранее, в отличие от NotPetya новая угроза не является вайпером, то есть не уничтожает информацию на жестких дисках своих жертв. По сути, Bad Rabbit был именно тем, чем казался – шифровальщиком. Но крайне скромная сумма выкупа (вымогатели требовали всего 0,05 биткоина), выбор целей для атак, а также прошлые «заслуги» группировки TeleBots заставляют специалистов предположить, что «Плохой кролик» мог быть лишь прикрытием для некой более серьезной атаки. То есть шифровальщик мог просто отвлекать внимание и заметать следы.