ИБ-специалисты продолжают изучать шифровальщик Bad Rabbit, в начале текущей недели атаковавший российские и украинские СМИ и организации. Напомню, что жертвами «Плохого кролика» стали «Интерфакс», «Фонтанка», Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры.

Ранее мы уже рассказывали о первых выводах, к которым пришли эксперты ведущих мировых компаний после атаки. Но специалисты продолжают изучать шифровальщика, так что за последние два дня появилось немало новых, небезынтересных подробностей.

Теперь о связи Bad Rabbit с вайпером NotPetya говорят уже повсеместно. Об этом в своих отчетах пишут BitdefenderCisco TalosESETGroup-IBIntezer Labs«Лаборатория Касперского» и Malwarebytes. Все исследователи согласны в одном – у вредоносов, скорее всего, общие корни, так как они весьма похожи, хотя большая часть кода и была переписана. Это значит, что вредоносы могли быть созданы одной хакерской группой. Если теории специалистов верны, то за созданием Bad Rabbit и NotPetya, по всей видимости, стоит группировка TeleBots (она же BlackEnergy и Sandworm Team), которую ранее уже связывали с эпидемией, вызванной NotPetya. Эти же злоумышленники были ответственны за разработку малвари XData и KillDisk, а также стояли за атаками на энергосистему Украины.

Ранее сообщалось, что на скорость распространения Bad Rabbit повлияло использование утилиты Mimikatz , SMB и WebDAV,  но при этом злоумышленники обошлись без украденных у АНБ эксплоитов. В частности, специалисты писали, что хакеры не использовали инструмент EternalBlue, эксплуатирующий бреши в SMB. Напомню, что вирусы WannaCry и NotPetya распространялись при помощи именно этого эксплоита.

Теперь выяснилось, что специалисты поспешили с выводами. Аналитики Cisco Talos и F-Secure обнаружили, что похищенные у АНБ хакерские инструменты все же были задействованы во время атаки. Как оказалось, авторы Bad Rabbit использовали не EternalBlue, а похожий эксплоит EternalRomance, тоже эксплуатирующий бреши в SMB. Этот факт был обнаружен не сразу, так как атакующие значительно переделали эксплоит, и автоматическое сканирование его не распознало.

Исследователи Cisco Talos отмечают, что данная версия EternalRomance очень похожа на Python-имплементацию эксплоита использованного для распространения NotPetya. Новый вариант по-прежнему близок к оригинальному EternalRomance, который был опубликован хакерской группой The Shadow Brokers, исходно похитившей кибероружие у АНБ.

Теперь, когда основные технические подробности о Bad Rabbit известны, специалисты пытаются понять, какую цель преследовали авторы малвари. Как уже отмечалось ранее, в отличие от NotPetya новая угроза не является вайпером, то есть не уничтожает информацию на жестких дисках своих жертв. По сути, Bad Rabbit был именно тем, чем казался – шифровальщиком. Но крайне скромная сумма выкупа (вымогатели требовали всего 0,05 биткоина), выбор целей для атак, а также прошлые «заслуги» группировки TeleBots заставляют специалистов предположить, что «Плохой кролик» мог быть лишь прикрытием для некой более серьезной атаки. То есть шифровальщик мог просто отвлекать внимание и заметать следы.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии