Bad Rabbit

Bad Rabbit
Тип Вирус-вымогатель, сетевой червь
Год появления 24 октября 2017
(начало массовой атаки)
Описание Symantec
Описание Securelist

Bad Rabbit (рус. «Плохой кролик») — вирус-шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года[1]. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.

По оценке Symantec вирус имеет низкий уровень угрозы[2]. 25 октября серверы, обеспечивавшие начальное заражение Bad Rabbit, были остановлены[3].

История

24 октября 2017 года, вирус шифровальщик атаковал ряд российских СМИ, включая ИА «Интерфакс» и интернет-газету «Фонтанка», а также киевское метро и аэропорт Одесса, требуя за разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в течение 48 часов[4][5][6]. Также, в меньшей степени, атаке подверглись Турция и Германия[7][8]. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток[9][10]. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов», а именно имена трех драконов — Дрогона, Рейгаля и Визериона[11][12][13][14].

Метод атаки

Для первоначальной установки Вирус не использует каких-либо эксплойтов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для Adobe Flash Player, должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством UAC Windows[15].

После установки приложение регистрируется в штатном механизме планирования заданий и начинает самостоятельное распространение по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой Mimikatz и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей[15]. По данным Cisco Talos, компонент распространения вируса дополнительно использует технологии и коды АНБ «EternalRomance», которые ранее были опубликованы группой Shadowbrokers (ошибка в кодах SMB, исправлена Microsoft в марте 2017)[16][17].

Приложение производит шифрование файлов по алгоритмам AES-128-CBC и RSA-2048[1].

В нарушение лицензии GPLv3 приложение Bad Rabbit пользуется кодами и драйвером из проекта DiskCryptor[15][18][19], но при этом не публикует изменённых исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.

Примечания

  1. 1 2 Орхан Мамедов, Федор Синицын, Антон Иванов. Шифровальщик Bad Rabbit. Лаборатория Касперского (25 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.
  2. Benjamin Moench Ransom.BadRabbit. Technical Details Архивная копия от 27 октября 2017 на Wayback Machine / Symantec Security Response
  3. Lorenzo Franceschi-Bicchierai (2017-10-25). "Infrastructure for the 'Bad Rabbit' Ransomware Appears to Have Shut Down" (англ.). Vice. Архивировано 26 октября 2017. Дата обращения: 27 октября 2017.
  4. Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ. ТАСС (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
  5. Иван Гусев. Россию атаковал новый вирус-вымогатель "Плохой кролик". Life (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
  6. Полина Духанова. «Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ. RT (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
  7. Алексей Шароглазов. Названы жертвы атаки вируса-шифровальщика Bad Rabbit. Известия (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 25 октября 2017 года.
  8. Вирус-вымогатель атаковал жертв через сайты СМИ. Вести.net (25 октября 2017). Дата обращения: 28 декабря 2017. Архивировано 27 декабря 2017 года.
  9. Кристина Жукова. Восстановлена работа пострадавших от вируса Bad Rabbit СМИ. Коммерсантъ (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
  10. 'Bad Rabbit' ransomware strikes Ukraine and Russia (англ.). BBC News (26 октября 2017). Дата обращения: 27 октября 2017. Архивировано 6 января 2021 года.
  11. Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов». Лента.ру (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 9 июня 2021 года.
  12. Роман Босиков. Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов". Life (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
  13. В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов». Пятый канал (26 октября 2017). Дата обращения: 26 октября 2017.
  14. Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов». CHIP (26 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
  15. 1 2 3 Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya. Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
  16. NICK BIASINI. Threat Spotlight: Follow the Bad Rabbit (англ.). Talos Intelligence (24 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.
  17. SEAN GALLAGHER (2017-10-26). "Bad Rabbit used NSA "EternalRomance" exploit to spread, researchers say" (англ.). ARS Technica. Архивировано 26 октября 2017. Дата обращения: 27 октября 2017.
  18. New wave of data-encrypting malware hits Russia and Ukraine Архивная копия от 26 октября 2017 на Wayback Machine (англ.)
  19. Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… ». Дата обращения: 26 октября 2017. Архивировано 1 декабря 2017 года.