Не биткойна ради

Не биткойна ради
Фото: cdn.fontanka.ru
«Фонтанка» обращается в правоохранительные органы в связи с взломом 24 октября, ударившим как по редакции, так и по читателям нашей газеты. Опрошенные нами эксперты согласны, что действие вируса не очень похоже на попытку заработать. Скорее на саботаж. Причем для «Фонтанки» был выбран особенный сценарий. ©PressFoto/peus

Эксперты в деле кибербезопасности сходятся во мнении, что «Фонтанка» стала мишенью для организаторов вирусной атаки BadRabbit из-за популярности ресурса. 

«Атака была организована следующим образом: злоумышленники заблаговременно зарегистрировали домен, на котором разместили вредоносное ПО. Далее в течение некоторого времени они взломали несколько популярных ресурсов, в частности «Фонтанку», – объяснил начальник отдела  анализа защищенности компании «Информзащита» Павел Сорокин. – Получив контроль над веб-сайтом, злоумышленники поставили на некоторых страницах сайта переадресацию на свой домен, по переходу на который происходила загрузка вымогательского ПО».

Правда, министр связи и массовых коммуникаций РФ Николай Никифоров назвал атаку шифровальщика именно на российские интернет-СМИ  «шальной пулей» . Однако ежедневная посещаемость «Фонтанки» составляет около 250 тысяч читателей. Главный редактор «Фонтанки» Александр Горшков считает,  что атака на интернет-газету заказана персонами, мечтающими, чтобы Петербург ничего не знал

Как уточнили в «Информзащите», со стороны пользователя все это выглядело таким образом: он заходил на сайт «Фонтанки», переходил по ссылке на новость (происходила переадресация) и ему предлагалось обновить Adobe Flash Player. Пользователь соглашался, файл скачивался и запускался. Далее вирус начинал распространяться внутри сети, шифровал все скомпрометированные компьютеры и требовал выкуп за расшифровку. За расшифровку файлов злоумышленники требовали по нынешним курсам немало: 0,05 биткойна (283 доллара или 15 700 рублей).

А вот как выглядело «нападение» хакеров со стороны технической службы «Фонтанки». «Злоумышленники, воспользовавшись уязвимостью в программном обеспечении, разместили ссылку на вредоносное ПО на нашем сайте под видом рекламного модуля, – пояснил руководитель службы информационных технологий «Фонтанка.ру» Дмитрий Олейник. В течение некоторого времени посетители сайта получали предложение обновить Adobe Flash Player, и приняв это предложение, запускали на своем компьютере вирус, шифрующий их данные. Это обычный способ распространения подобных программ, и авторы вирусов-шифровальщиков стараются не афишировать источник распространения вредоносов – они материально заинтересованы в максимально долгом «сроке жизни» взломанных сайтов. В нашем случае, однако, через полчаса-час распространения вредоноса злоумышленники заменили главную страницу сайта, замаскировав ее под стандартное предупреждение безопасности браузера – «данный сайт распространяет вредоносное программное обеспечение и будет заблокирован». Таким образом, мы имеем основания предполагать, что основной целью злоумышленников был не заработок биткойнов за разблокировку зашифрованных данных, а нанесение ущерба деловой репутации «Фонтанки» и снижение доверия посетителей к сайту».

Дело в том, что ни на одном из взломанных сайтов, кроме «Фонтанки», злоумышленники не размещали подобных предупреждений о небезопасности.

«Анализ файлов на домене в сети TOR показал, что сайт был подготовлен еще 19 октября, а сама вредоносная программа содержала дату подписи сертификатом от 25 октября, хотя атака началась 24 октября. Некоторые из модулей содержат дату компиляции за 22 октября. Все это говорит о том, что атака была тщательно спланирована и, скорее всего, предполагалась 25 октября», – рассказали в Group-IB. В «Лаборатории Касперского» меж тем считают, что группировка готовила атаку BadRabbit как минимум с июля 2017-го. «В июле 2017 года исследователи «Лаборатории Касперского» обнаружили связь между APT BlackEnergy и авторами зловреда ExPetr, – пояснил руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. – Много общего было найдено в коде старой версии KillDisk от BlackEnergy и коде ExPetr. Эти параллели были впервые обнаружены в списке расширений файлов, в которые целились BlackEnergy и ExPetr».

«В самой атаке нет ничего нового, так киберпреступники уже делали раньше, – утверждает директор по продуктовому и технологическому позиционированию Acronis Александр Иванюк. – Очевидно, что работали не новички, потому что смогли скомпилировать функциональность нескольких шифровальщиков в один семпл. Так что, скорее всего, за BadRabbit стоит несколько человек». По словам эксперта Acronis, стоила такая атака минимум несколько тысяч долларов.

Кто стоит

Увы, эксперты в кибербезопасности не отвечают на этот вопрос «поименно». В Group-IB утверждают , что за атакой вируса-шифровальщика BadRabbit и эпидемией вируса NotPetya стоит одна и та же группа хакеров. «Мы обнаружили, что код BadRabbit был скомпилирован из исходников NotPetya, есть уникальные функции вычисления хэша, способ распространения по сети и удаление журналов, – рассказал эксперт по киберразведке Group-IB Рустам Миркасымов. – Логика извлечения модулей и сами модули также подтверждают эту связь». 

«За атакой BadRabbit может стоять как небольшая преступная группа из двух-трех человек, так и более серьезная, возможно, включающая в свой состав создателей NonPetya группировка BlackEnergy, – уточняет Александр Иванюк. – Но очевидно, что это или не профессионалы экстра-класса, так как использованный сертификат фальшивый, много ставок сделано на ошибки со стороны пользователя и сложно было ожидать огромной эпидемии при такой схеме работы шифровальщика. Или же это было тестовое нападение, для того, чтобы проверить готовность пользователей противостоять вымогателям и текущую работоспособность схемы распространения шифровальщиков».

«Располагая только инструментами антивирусной компании, достоверно установить, кто стоит за атакой, невозможно, – были еще более осторожны представители компании ESET. – Назвать причастных можно только при наличии исчерпывающих доказательств».

«Определить настоящий источник проведения компьютерной атаки техническими методами практически невозможно на данный момент времени. Существует обширный набор различных техник сокрытия настоящих адресов, в том числе использование прокси-узлов, TOR-сети, взломанных серверов, грамотное применение которых надежно скрывает следы», – не оставил шансов найти «точку сборки» Павел Сорокин.

«Сейчас необходимо определить цели этой атаки, предположительно это могут быть, как финансовая выгода, так и уничтожение данных и саботаж», – ничего не исключает Вячеслав Закоржевский.

Кого задело

Атака началась с распространения вредоносного ПО через российские и украинские СМИ и сторонние порталы, однако, стоит отметить, что были зафиксированы заражения в Турции, США, Германии, Болгарии, Японии. 

«На Россию пришлось больше половины – 65% всех атак», – уточняет Александр Иванюк (отметим, что в случае с предыдущими инкарнациями вируса звучала версия о его русском следе – прим. ред.) – «Украина – 12,2%, Болгария – 10,2%, Турция – 6,4%, Япония – 3,8%, другие страны – 2,4%», – продолжает статистику руководитель поддержки продаж ESET Russia Виталий Земских. «Распространение BadRabbit было массовым, хотя жертв оказалось гораздо меньше, чем в случае с NotPetya. На Украине в результате атаки BadRabbit пострадали несколько стратегических объектов (аэропорт, метро, госучреждения), в России — редакции федеральных СМИ. Также были зафиксированы факты попыток заражений банковских инфраструктур, правда, неудачные», – завершили картинку в Group-IB. 

Куда бежать

Совет специалистов по кибербезопасности почти всегда одинаков, когда пользователи сталкиваются с вирусом: иметь на компьютере антивирусную защиту и защищённый бекап (резервное копирование данных – прим.ред.). 

Кроме того, необходимо регулярно обновлять операционную систему и сторонний софт. «Но важно помнить о том, что сторонний софт не обновляется с новостных сайтов, – уточняет Александр Иванюк. – Он или обновляется автоматически сам (данная функция есть сейчас почти во всем популярном софте), или же его нужно обновлять с сайта производителя этого софта». «Для компаний необходимо внедрять системы защиты web и почтового трафика, использовать механизмы песочницы (sandbox) для обнаружения вредоносного ПО», – добавляет Андрей Прошин. Если заражение произошло, Вячеслав Закоржевский предостерегает: Никогда не платите злоумышленникам выкуп. В случае с Bad Rabbit происходит шифрование, как пользовательских файлов, так и диска. Для шифрования диска используется легитимная утилита шифрования – DiskCryptor. Если у Вас есть возможность, сохраните образ диска. На данный момент специалисты работают над установлением возможности расшифровки».

И в качестве постскриптума: «Лаборатория Касперского» в ходе анализа образцов угрозы BadRabbit отметила интересную деталь: по всей видимости, авторы вредоносной программы являются поклонниками «Игры престолов». Некоторые строки в коде представляют собой имена персонажей из этой вселенной.

Николай Нелюбин, специально для «Фонтанка.ру»

 
По теме
Вирус-шифровальщик BadRabbit пытался атаковать российские банки из «первой двадцатки», сообщил генеральный директор компании Group-IB, занимающейся предотвращением и расследованием киберпреступлений, Илья Сачков.
Телеканал «Санкт-Петербург» рассказывает об основных событиях к этому часу.
ТК Санкт-Петербург
В Петербурге обсудили организацию консультативно-диагностической помощи взрослым - Администрация г. Санкт-Петербурга Сегодня в Санкт‑Петербурге состоялось открытие II городской научно-практической конференции с международным участием «Совершенствование организации консультативно-диагностической помощи взрослому населению на современном
Администрация г. Санкт-Петербурга
Не стало Владимира Фейертага - Культура Петербурга Фото: vk.com/festival_petrojazz. Автор: Екатерина Дмитриева 28 марта в Санкт-Петербурге ушел из жизни Владимир Фейертаг.
Культура Петербурга