Для розповсюдження вірусу використовувались «фейкові» оновлення програмного забезпечення «Adobe Flash Player». Про це можна говорити на підставі попереднього аналізу даних, отриманих у результаті роботи фахівців підрозділу.
Учора, 24 жовтня, було зафіксовано поодинокі атаки типу «drive-by-download» з використанням програми шифрувальника, який отримав назву «BadRabbit».
Попередньо встановлено: у коді «BadRabbit» є дубльовані та аналогічні елементи коду «Petya»/«NotPetya» (Mimikatz, використання протоколу SMB для горизонтального поширення, використовуючи імена користувачів та їх паролі та інше).
На відмінність від «NotPetya» шифрувальник «BadRabbit» не є “вайпером, тобто він не має на меті знищення інформації на жорстких дисках уражених комп’ютерів. Спеціалісти зазначають, що справжньою метою цієї «атаки» було бажання зловмисників збагатитися і вона була здійсненна виключно з корисливих мотивів.
Слід зазначити, що серед постраждалих країн, Україну уразило найменше. Кіберполіція відзначає, що аудиторія українських користувачів не є масовою та складає близько 12% від загальної кількості разів завантаження інфікованих оновлень.
Фахівці з кіберполіції встановили, що ключовою відмінністю між «Petya» / «NotPetya» та «BadRabbit» є те, що початкові вектори атаки відрізняються.
«BadRabbit» для поширення в якості основного вектору використовує ураженні Інтернет сайти, з яких користувачами завантажувалось фальшиве оновлення «Flash». Іншою відмінністю вірусів є те, що «BadRabbit» не використовує вразливість «EternalBlue».
У той же час, кіберполіція надала перелік уражених інтернет сайтів, з яких було зафіксовано поширення фальшивих оновлень «Flash»:
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru
Факти ураження комп’ютерів жертв внаслідок відкриття файлів електронних документів, що надсилалися каналами електронної пошти від невстановлених відправників також мали місце та перевіряються.
Після відвідування ураженого сайту, користувачеві пропонується завантажити до себе на комп’ютер виконуваний файл-завантажувач (так званий «дропер»), що маскується під оновлення програмного забезпечення «Adobe Flash Player». Шкідлива програма для подальшого спрацювання повинна запускатися з правами адміністратора. Після запуску, вона завантажує («дропає») та розгортає основний модуль з назвою infpub.dat у каталозі C:\Windows , який у подальшому виконується за допомогою rundll32.exe
Окрім infpub.dat «дропер» у той самий каталог завантажує також інші елементи вірусу – файли «cscc.dat», «bootstat.dat» та «dispci.exe».
Файл «dispci.exe» у подальшому запускається за допомогою запланованого завдання операційної системи. Його функція полягає у встановлені елементу вірусу – шифрувальника завантажувальної області.
У подальшому шкідлива програма шифрує лише файли з обраними розширеннями, у тому числі .doc, .docx, .xls, .xlsx. Існує припущення що використовується ймовірно алгоритм AES в режимі CBC. Після шифрування, розширення файлів не змінюється. В кінці вмісту файлу додається унікальний текст: “% encrypted”, який є маркером того, що файл було зашифровано. Після цього, як і «NotPetya», «BadRabbit» створює заплановане завдання для перезавантаження операційної системи.
Після завершення атаки, система перезавантажується і на екрані комп’ютера з’являється повідомлення із вимогою про викуп та посиланням на сайт в мережі ТОR. За розшифрування файлів зловмисники вимагають 0,05 ВТС, що еквівалентно близько 300 доларам США. Повідомлення візуально дуже схоже на те, яке з’являлось під час атаки «NotPetya».
Список атакованих розширень файлів виглядає як більш доповнена версія списку, використаного «NotPetya» :
3ds 7z accdb ai asm asp aspx avhd back bak bmp brw c cab
cc cer cfg conf cpp crt cs ctl cxx dbf der dib disk djvu
doc docx dwg eml fdb gz h hdd hpp hxx iso java jfif jpe
jpeg jpg js kdbx key mail mdb msg nrg odc odf odg odi odm
odp ods odt ora ost ova ovf p12 p7b p7c pdf pem pfx php
pmf png ppt pptx ps1 pst pvi py pyc pyw qcow qcow2 rar rb
rtf scm sln sql tar tib tif tiff vb vbox vbs vcb vdi vfd
vhd vhdx vmc vmdk vmsd vmtm vmx vsdx vsv work xls xlsx x
ml xvd zip
Також працівники кіберполіції встановили, що в коді «BadRabbit» були виявлені відсилання до фентезійного телесеріалу «Гра престолів». Наприклад, заплановані завдання мають імена трьох драконів з серіалу: Drogon, Rhaegal, Viserion. Раніше схожі послання до популярної фентезійної саги були помічені світовими експертами в складі одного з скриптів, який використовувався для розповсюдження відомого шифрувальника «Locky».
Рекомендації для користувачів, щоб не стати жертвою вірусу-шифрувальника або вимагача на кшталт «BadRabbit»:
– робіть тіньове копіювання файлів для відновлення даних, у разі шифрування;
– заблокуйте виконання файлів c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat;
– заборонити (якщо це можливо) використання служби WMI;
– заборонити виконання наступних завдань: viserion_, rhaegal, drogon;
– проведіть оновлення операційної системи та системи безпеки;
– заблокуйте ip-адреси і доменні імена з яких відбувалося поширення шкідливих файлів;
– налаштуванням групової політики забороніть зберігання паролів в LSA Dump у відкритому вигляді;
– змініть всі паролі на складні для запобігання атаки за словником (brute-force);
– налаштуйте блокування спливаючих вікон в браузері;
– застосувати сучасні засоби виявлення вторгнень і пісочницю («sandbox») для аналізу підозрілих файлів.
Департамент кіберполіції
Національної поліції України