Все, что известно о шифровальщике Bad Rabbit на сегодняшний день

Несмотря на наличие некоторого сходства, с технологической точки зрения Bad Rabbit сильно отличается от NotPetya.

Во вторник, 24 октября, российские и украинские организации стали жертвами вымогательского ПО Bad Rabbit. Ниже мы представим факты, известные на сегодняшний день об атаках с его использованием, а также выясним, есть ли общее черты между Bad Rabbit и NotPetya.

Как ранее сообщал SecurityLab, вредонос атаковал три российских СМИ (в том числе «Интерфакс» и «Фонтанку») и ряд украинских предприятий. Однако, по словам гендиректора компании Group-IB Ильи Сачкова, Bad Rabbit также пытался атаковать российские банки из топ-20. Названия финорганизаций эксперт не привел, но отметил, что атаки предпринимались на инфраструктуру банков, использующих систему обнаружения вторжений от Group-IB. По словам Сачкова, финорганизации получали вредоносные файлы 24 октября с 13:00 до 15:00 по Москве, сообщает ТАСС.

Согласно данным анализа , проведенного экспертами из Trend Micro, Bad Rabbit распространяется посредством атаки watering hole, предполагающей заражение web-сайтов, часто посещаемых потенциальными жертвами. Когда жертва попадает на зараженный сайт, ей предлагается установить поддельный Flash Player “install_flash_player.exe”. В настоящее время ссылка hxxp://1dnscontrol.com/flash_install, по которой предлагалось скачать поддельный плеер, уже неактивна.

После запуска поддельного установщика программ с помощью процесса rundll32.exe на атакуемую систему устанавливается шифровальщик infpub.dat и шифровальщик /дешифровщик dispci.exe. В ходе атаки Bad Rabbit использует три файла. Имена двух из них являются отсылкой к популярному телесериалу «Игра престолов». Файл rhaegal.job ответственен за выполнение файла дешифровщика, а drogon.job – за блокировку компьютера жертвы. Хранящиеся на системе файлы затем шифруются, а на экране появляется уведомление с требованием выкупа.

Третий файл, viserion_23.job, второй раз перезагружает систему, после чего доступ к ней блокируется, а на экран выводится еще одно уведомление с требованием заплатить выкуп за ключ для дешифровки.

Bad Rabbit инфицирует другие компьютеры в сети путем загрузки в нее своих копий и выполнения их с помощью легальных инструментов Windows Management Instrumentation (WMI) и Service Control Manager Remote Protocol. При использовании Service Control Manager Remote Protocol вредонос осуществляет атаку по словарю для получения учетных данных.

Среди других легальных инструментов, предположительно применяемых вредоносом для получения учетных данных, эксперты называют утилиту с открытым исходным кодом Mimikatz. Исследователи также обнаружили признаки использования законного инструмента DiskCryptor для шифрования файлов на атакуемых компьютерах.

По данным компании Acronis, Bad Rabbit шифрует файлы с помощью легального драйвера ядра dcrypt.sys. ПО подписано сертификатами якобы от Symantec, благодаря чему вредоносу удается обходить антивирусные решения.

В отличие от шифровальщика NotPetya, Bad Rabbit не эксплуатирует уязвимость в файл-сервере srv.sys. Кроме того, шифрование диска осуществляется без имитации работы chkdsk.exe, сообщает «РБК» со ссылкой на экспертов Acronis. По мнению исследователей, NotPetya и Bad Rabbit имеют схожие черты «на концептуальном уровне», однако сильно различаются с технологической точки зрения. Среди общих черт эксперты в частности отмечают возможность как файлового, так и дискового шифрования у обоих вредоносов.

Все, что известно о шифровальщике Bad Rabbit на сегодняшний день
Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.