Bad Rabbit
 | Значимость предмета статьи поставлена под сомнение. |
| Bad Rabbit | |
|---|---|
| Тип | Вирус-вымогатель, сетевой червь |
| Год появления |
24 октября 2017 (начало массовой атаки) |
| Описание Symantec | |
| Описание Securelist | |
Bad Rabbit (рус. «Плохой кролик») — вирус-шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года[1]. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.
По оценке Symantec вирус имеет низкий уровень угрозы[2]. 25 октября серверы, обеспечивавшие начальное заражение Bad Rabbit, были остановлены[3].
История
[править | править код]24 октября 2017 года, вирус шифровальщик атаковал ряд российских СМИ, включая ИА «Интерфакс» и интернет-газету «Фонтанка», а также киевское метро и аэропорт Одесса, требуя за разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в течение 48 часов[4][5][6]. Также, в меньшей степени, атаке подверглись Турция и Германия[7][8]. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток[9][10]. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов», а именно имена трех драконов — Дрогона, Рейгаля и Визериона[11][12][13][14].
Метод атаки
[править | править код]Для первоначальной установки Вирус не использует каких-либо эксплойтов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для Adobe Flash Player, должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством UAC Windows[15].
После установки приложение регистрируется в штатном механизме планирования заданий и начинает самостоятельное распространение по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой Mimikatz и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей[15]. По данным Cisco Talos, компонент распространения вируса дополнительно использует технологии и коды АНБ «EternalRomance», которые ранее были опубликованы группой Shadowbrokers (ошибка в кодах SMB, исправлена Microsoft в марте 2017)[16][17].
Приложение производит шифрование файлов по алгоритмам AES-128-CBC и RSA-2048[1].
В нарушение лицензии GPLv3 приложение Bad Rabbit пользуется кодами и драйвером из проекта DiskCryptor[15][18][19], но при этом не публикует изменённых исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.
Примечания
[править | править код]- ↑ 1 2 Орхан Мамедов, Федор Синицын, Антон Иванов. Шифровальщик Bad Rabbit. Лаборатория Касперского (25 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.
- ↑ Benjamin Moench Ransom.BadRabbit. Technical Details Архивная копия от 27 октября 2017 на Wayback Machine / Symantec Security Response
- ↑ Lorenzo Franceschi-Bicchierai (2017-10-25). "Infrastructure for the 'Bad Rabbit' Ransomware Appears to Have Shut Down" (англ.). Vice. Архивировано 26 октября 2017. Дата обращения: 27 октября 2017.
- ↑ Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ. ТАСС (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
- ↑ Иван Гусев. Россию атаковал новый вирус-вымогатель "Плохой кролик". Life (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
- ↑ Полина Духанова. «Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ. RT (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
- ↑ Алексей Шароглазов. Названы жертвы атаки вируса-шифровальщика Bad Rabbit. Известия (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 25 октября 2017 года.
- ↑ Вирус-вымогатель атаковал жертв через сайты СМИ. Вести.net (25 октября 2017). Дата обращения: 28 декабря 2017. Архивировано 27 декабря 2017 года.
- ↑ Кристина Жукова. Восстановлена работа пострадавших от вируса Bad Rabbit СМИ. Коммерсантъ (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
- ↑ 'Bad Rabbit' ransomware strikes Ukraine and Russia (англ.). BBC News (26 октября 2017). Дата обращения: 27 октября 2017. Архивировано 6 января 2021 года.
- ↑ Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов». Лента.ру (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 9 июня 2021 года.
- ↑ Роман Босиков. Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов". Life (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
- ↑ В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов». Пятый канал (26 октября 2017). Дата обращения: 26 октября 2017.
- ↑ Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов». CHIP (26 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
- ↑ 1 2 3 Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya. Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
- ↑ NICK BIASINI. Threat Spotlight: Follow the Bad Rabbit (англ.). Talos Intelligence (24 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.
- ↑ SEAN GALLAGHER (2017-10-26). "Bad Rabbit used NSA "EternalRomance" exploit to spread, researchers say" (англ.). ARS Technica. Архивировано 26 октября 2017. Дата обращения: 27 октября 2017.
- ↑ New wave of data-encrypting malware hits Russia and Ukraine Архивная копия от 26 октября 2017 на Wayback Machine (англ.)
- ↑ Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… ». Дата обращения: 26 октября 2017. Архивировано 1 декабря 2017 года.
