Организация информационной безопасности


«Плохой кролик» шифрует диск и требует биткойны

Фотография предоставлена:

Вчера, 24 октября, появились множественные сообщения о хакерских атаках, связанных с распространением вымогательского ПО, именуемого Bad Rabbit (Плохой кролик»). К вечеру эксперты «Лаборатории Касперского» поделились результатами предварительного анализа нового Windows-шифровальщика, уже успевшего нарушить работу некоторых российских компаний.

Согласно наблюдениям, резво стартовавший зловред распространяется через drive-by загрузки с зараженных сайтов, и эксплуатации каких-либо уязвимостей в данном случае не происходит. Жертва должна сама вручную запустить вредоносный дроппер, замаскированный под инсталлятор Adobe Flash Player.

Данные телеметрии показали, что дроппер Bad Rabbit загружается с адреса hxxp://1dnscontrol[.]com/flash_install.php. Потенциальная жертва попадает на этот ресурс через редирект, установленный на взломанном сайте. Для корректной работы дропперу нужны права администратора, которые он пытается получить с помощью стандартной подсказки службы UAC.

При активации дроппер сохраняет вредоносную DLL как C:\Windows\infpub.dat и запускает ее на исполнение, используя rundll32. Модуль infpub.dat, по всей видимости, способен проводить брутфорс-атаки на другие Windows-компьютеры в локальной сети, используя идентификаторы, украденные с зараженной машины, и вшитый список логинов и паролей. Основное назначение компонента infpub.dat — шифрование файлов жертвы, которое он осуществляет, руководствуясь списком расширений. При этом, по данным «Лаборатории», используется открытый 2048-битный ключ RSA.

Сообщение Bad Rabbit с требованием выкупа явно позаимствовано у ExPetr. Размер выкупа составляет 0,05 биткойна (порядка 280 долларов), через 40 с небольшим часов эта сумма увеличивается. Сайт злоумышленников, фиксирующий платежи, размещен в сети Tor.

Анализ показал, что infpub.dat также устанавливает вредоносный файл dispci.exe в папку Windows и создает задачу для его запуска. Этот исполняемый файл, как обнаружили исследователи, является производным легитимной утилиты DiskCryptor. Он шифрует диск и устанавливает модифицированный загрузчик ОС, чем препятствует нормальному старту системы.

Примечательно, что некоторые строки кода Bad Rabbit содержат имена персонажей популярного телесериала «Игра престолов».

Как показало исследование, в схеме распространения нового шифровальщика задействован ряд скомпрометированных сайтов, принадлежащих новостным изданиям и СМИ. Большинство жертв Bad Rabbit находятся в России, зафиксированы также случаи заражения на Украине, в Турции и Германии. Украинская CERT даже опубликовала соответствующее предупреждение. На настоящий момент эксперты «Лаборатории Касперского» насчитали около 200 мишеней злоумышленников.

«Все признаки указывают на то, что это целенаправленная атака на корпоративные сети, — отметил в комментарии РБК руководитель отдела антивирусных исследований «Лаборатории» Вячеслав Закоржевский. — Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем».

В настоящее время Bad Rabbit детектирует половина антивирусов из коллекции Virus Total. Защитные решения «Лаборатории Касперского», согласно блог-записи, распознают новую угрозу с вердиктами Trojan-Ransom.Win32.Gen.ftl, UDS:DangerousObject.Multi.Generic и PDM:Trojan.Win32.Generic. Во избежание заражения эксперты рекомендуют незамедлительно обновить антивирусные базы и удостовериться, что все компоненты специализированной защиты включены. При отсутствии таковой можно запретить исполнение файлов по путям C:\Windows\infpub.dat и C:\Windows\cscc.dat с помощью инструментов системного администрирования.

На миниатюре представлен образец сообщения Bad Rabbit из блог-записи на Securelist.com.

25.10.2017 12:17