Из-за атаки вируса-шифровальщика Bad Rabbit сайт «Интерфакса» не работал большую часть среды, но стал доступен к вечеру, хотя и продолжает не обновляться. Целью злоумышленников было не заработать на атаке, а проверить уровень защиты сетей критической инфраструктуры, полагают эксперты.
Сайт «Интерфакса» восстановил работу после атаки вируса-шифровальщика Bad Rabbit. При этом последняя новость на нем датирована 13:59 24 октября. Ранее на сайте было указано: «Наш сервис временно недоступен. Мы прилагаем все усилия для скорейшего восстановления работоспособности системы. Приносим свои извинения!» Кибератаки на «Интерфакс», «Фонтанку», «Новую газету — Балтия», «Новую газету в Санкт-Петербурге» и «Аргументы недели» были зафиксированы 24 октября. Злоумышленники требовали заплатить в течение 48 часов 0,05 биткойна за восстановление доступа, в противном случае обещали увеличить сумму выкупа.
Также были отмечены неудачные попытки заражений российских банковских инфраструктур, а также нарушена работа Киевского метрополитена, Министерства инфраструктуры Украины, аэропорта Одессы.
65% отраженных атак пришлось на Россию, 12,2% — на Украину, 10,2% — на Болгарию, 6,4% — на Турцию, 3,8% — на Японию, приводит ESET данные географии отраженных атак шифровальщика.
Это была целенаправленная атака на корпоративные сети, считают в «Лаборатории Касперского». В 2017 году уже были зафиксированы две крупнейшие эпидемии шифровальщиков, WannaCry и Petya (он же NotPetya). Обнаруженные совпадения в коде указывают на связь новой атаки с июньской эпидемией шифровальщика NotPetya или его подражателями, поразившими энергетические, телекоммуникационные и финансовые компании, согласны в Group-IB. Атака не была целенаправленной, а носила случайный характер, считает глава Минкомсвязи Николай Никифоров. По его мнению, какую-то определенную цель хакеры вряд ли преследовали. «При всем уважении к большим СМИ — это не критический объект инфраструктуры»,— цитирует ТАСС господина Никифорова.
В Group-IB отмечают, что, несмотря на масштабы заражения, вымогатели за три эпидемии собрали сравнительно ничтожные суммы. Целью злоумышленников было не заработать, а проверить уровень защиты сетей критической инфраструктуры предприятий, госведомств и частных компаний. «Вероятно, сбывается наш прогноз: после того как недавние атаки прогосударственных хакеров с помощью шифровальщиков с функционалом самораспространения показали свою эффективность, другие прогосударственные хакеры, вероятнее всего, начнут разрабатывать аналогичные инструменты. Это приведет к новым атакам»,— заявили в компании.
Эксперты ESET, «Лаборатории Касперского» и Group-IB описывают механизм заражения следующим образом. Оно происходило после захода на взломанные легитимные сайты, все они принадлежат к категории СМИ. На скомпрометированные ресурсы в HTML-код атакующими был загружен JavaScript-инжект, который демонстрировал посетителям поддельное окно, предлагающее установить обновление Adobe Flash. Если пользователь соглашался на обновление, происходило скачивание и запуск вредоносного файла, а также заражение хоста. После ручного запуска фальшивого установщика Adobe Flash происходило заражение компьютера.
Россию и Украину атаковал Badrabbit
Новая хакерская атака была зафиксирована 24 октября в России и на Украине. Пострадавшими себя признали ряд компаний, включая российские СМИ «Интерфакс» и «Фонтанка», а также Киевский метрополитен и одесский аэропорт.