Как размножаются плохие кролики
Фаталисты, предрекавшие новый крах информационной инфраструктуры, могут ликовать: на смену нашалившему вирусу NotPetya пришел BadRabbit. На этот раз новоявленный вирус-шифровальщик поразил ресурсы Киевского метрополитена, международного аэропорта Одессы и Министерства инфраструктуры Украины. Впрочем, досталось не только соседям – под раздачу попали сайты интернет-медиахолдингов «Интерфакс», «Аргументы недели» и «Фонтанка». Таким образом, в этом году количество успешных вирусных атак эпидемиологического характера достигло трех: в мае – WannaCry (200 тыс. ПК в 150 странах), 27 июня – Petya/NotPetya/ExPetr (12 500 ПК в 65 странах), и наконец, масштабы развертывания нынешнего BadRabbit пока уточняются.
Удивительно, но две предыдущие эпидемии научили осторожности далеко не всех. Сергей Никитин, заместитель руководителя лаборатории компьютерной криминалистики компании Group-IB, утверждает: «Никаких уязвимостей вообще не было, пользователи сами запускали инициирующий файл». Как отмечается, вредоносный код распространялся посредством веб-трафика с взломанных интернет-ресурсов: пользователю настойчиво демонстрировали всплывающее поддельное окно, предлагавшее незамедлительно обновить якобы устаревший Adobe-Flash-плеер. Высказавшие согласие в итоге получали хорошо известное по предыдущим реинкарнациям вируса окно с требованием проплатить 0,05 биткоина (около $283). А пока пострадавшие раздумывали, BadRabbit вычислял логины и пароли в локальной сети, с тем чтобы размножить свои копии на другие компьютеры посредством программы Mimikatz.
Слово «реинкарнации» тут упомянуто неслучайно. Специалисты сообщили, что в последних атаках использовалось вредоносное ПО Diskcoder.D – новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в кибератаке в июне 2017 года. А в отчете Group?IB прямо заявлено: «Мы обнаружили, что код BadRabbit был скомпилирован из исходников NotPetya, есть уникальные функции вычисления хэша, способ распространения по Сети и удаления журналов. Логика извлечения модулей и сами модули также подтверждают эту связь».
Можно ли на основании указанных данных утверждать, что за распространением всех версий вируса стоит одна и та же преступная группировка? В Group?IB убеждены, что так и есть. Но, глядя на масштабы заражения, приходится с грустью констатировать, что члены данной группы либо страдают слабоумием, либо версия об их монополии не выдерживает никакой критики.
В самом деле, тупо использовать один и тот же прием, пусть и со слегка обновленным инструментом, означает заранее обречь себя на провал. Все-таки ИТ-сообщество уже прилично подзалатало дыры в защите и по горячим следам весьма настороженно следит за потенциальными угрозами. То есть дважды на одни и те же грабли вряд ли наступит. А значит, владельцы семейства «Петь», скорее всего, начали продавать движок и сопутствующие механизмы другим страждущим незаконной наживы. Это прекрасно объясняет не только перекомпиляцию исходного кода, но и по сути провал операции «Плохой Кролик».
Если это принять за рабочую гипотезу, то в ближайшее время следует ожидать множества схожих вирусов, плодящихся как… кролики. Ведь купившие код «хацкеры» вряд ли отбили затраты, а следовательно, будут продавать код дальше – за меньшую сумму, но многим желающим, доведя идею до состояния цепной реакции. Предположить, когда она заглохнет, невозможно, так что админам и киберсекьюрити рано расслабляться: вполне вероятно, очередной «Кролик неПетя» проявится в самое ближайшее время.