IT ExpertМир технологийНаука и техника

Как размножаются плохие кролики

Сергей Грицачук | 30.10.2017

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Как размножаются плохие кролики

Фаталисты, предрекавшие новый крах информационной инфраструктуры, могут ликовать: на смену нашалившему вирусу NotPetya пришел  BadRabbit. На этот раз новоявленный вирус-шифровальщик поразил ресурсы Киевского метрополитена, международного аэропорта Одессы и Министерства инфраструктуры Украины. Впрочем, досталось не только соседям – под раздачу попали сайты интернет-медиахолдингов «Интерфакс», «Аргументы недели» и «Фонтанка». Таким образом, в этом году количество успешных вирусных атак эпидемиологического характера достигло трех: в мае – WannaCry (200 тыс. ПК в 150 странах), 27 июня – Petya/NotPetya/ExPetr (12 500 ПК в 65 странах), и наконец, масштабы развертывания нынешнего BadRabbit пока уточняются.

Удивительно, но две предыдущие эпидемии научили осторожности далеко не всех. Сергей Никитин, заместитель руководителя лаборатории компьютерной криминалистики компании Group-IB, утверждает: «Никаких уязвимостей вообще не было, пользователи сами запускали инициирующий файл». Как отмечается, вредоносный код распространялся посредством веб-трафика с взломанных интернет-ресурсов: пользователю настойчиво демонстрировали всплывающее поддельное окно, предлагавшее незамедлительно обновить якобы устаревший Adobe-Flash-плеер. Высказавшие согласие в итоге получали хорошо известное по предыдущим реинкарнациям вируса окно с требованием проплатить 0,05 биткоина (около $283). А пока пострадавшие раздумывали, BadRabbit вычислял логины и пароли в локальной сети, с тем чтобы размножить свои копии на другие компьютеры посредством программы Mimikatz.

Слово «реинкарнации» тут упомянуто неслучайно. Специалисты сообщили, что в последних атаках использовалось вредоносное ПО Diskcoder.D – новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в кибератаке в июне 2017 года. А в отчете Group?IB прямо заявлено: «Мы обнаружили, что код BadRabbit был скомпилирован из исходников NotPetya, есть уникальные функции вычисления хэша, способ распространения по Сети и удаления журналов. Логика извлечения модулей и сами модули также подтверждают эту связь».

img

Можно ли на основании указанных данных утверждать, что за распространением всех версий вируса стоит одна и та же преступная группировка? В Group?IB убеждены, что так и есть. Но, глядя на масштабы заражения, приходится с грустью констатировать, что члены данной группы либо страдают слабоумием, либо версия об их монополии не выдерживает никакой критики.

В самом деле, тупо использовать один и тот же прием, пусть и со слегка обновленным инструментом, означает заранее обречь себя на провал. Все-таки ИТ-сообщество уже прилично подзалатало дыры в защите и по горячим следам весьма настороженно следит за потенциальными угрозами. То есть дважды на одни и те же грабли вряд ли наступит. А значит, владельцы семейства «Петь», скорее всего, начали продавать движок и сопутствующие механизмы другим страждущим незаконной наживы. Это прекрасно объясняет не только перекомпиляцию исходного кода, но и по сути провал операции «Плохой Кролик».

img

Если это принять за рабочую гипотезу, то в ближайшее время следует ожидать множества схожих вирусов, плодящихся как… кролики. Ведь купившие код «хацкеры» вряд ли отбили затраты, а следовательно, будут продавать код дальше – за меньшую сумму, но многим желающим, доведя идею до состояния цепной реакции. Предположить, когда она заглохнет, невозможно, так что админам и киберсекьюрити рано расслабляться: вполне вероятно, очередной «Кролик неПетя» проявится в самое ближайшее время.

Горячие темы: Внимание!

    [ Подписка на журнал ]

Об авторах

Сергей Грицачук

Сергей Грицачук

Обозреватель, аналитик, инженер-системотехник. Действительный член «Клуба экспертов Intel», сертифицированный специалист (Мюнхен) по сетевым и серверным технологиям с 1993 года. Компьютерами и сопутствующими решениями занимается с 1985-го, участник многочисленных выставок, обладатель наград за оригинальные схемотехнические и программные разработки. Первый диплом получил в 1984 году от «Патентного бюро» журнала «Юный техник». Увлекается охотой, рыбалкой, водно-моторным спортом. «Утомившись суетой цивилизации, предпочитаю уединенную жизнь вдали от нее. Все свободное время отдаю семье и детям».

Мероприятия

15.11.2018
Teradata Форум 2018

Москва, Отель «Ритц-Карлтон»

15.11.2018
Docsvision User Day 2018

Москва, ул. Поклонная, д.3 (м. Кутузовская), конференц-центр Newsroom

20.11.2018
Intel® Innovation Day – Осень 2018

Москва, Россия, г.Москва, Новинский бульвар, 8, стр.2 Лотте Отель Москва

22.11.2018
Передача Audio, Video и KVM по IP: решения, опыт, истории успеха

Казань, пр. Фатыха Амирхана, 1A, комплекс «Казанская Ривьера».