Новый NotPetya: ЦБ сообщил о хакерской атаке на российские банки с помощью вируса BadRabbit

Банк России зафиксировал компьютерную атаку на ряд банков с использованием BadRabbit — вредоносного программного обеспечения типа «шифровальщик». При этом ресурсы кредитных организаций в результате атаки не пострадали.

«По итогам рассылки вредоносного программного обеспечения Bad Rabbit факты компрометации ресурсов финансовых организаций не зафиксированы. <...> Вместе с тем Банк России проанализирует причины ситуации, в результате которой был недоступен публичный сервис агентства Интерфакс по раскрытию информации эмитентами, и намерен проработать механизмы для снижения вероятности возникновения подобных инцидентов в будущем», — говорится в заявлении Центробанка.

Банк также предупредил о возможных попытках распространения хакерами вредоносного программного обеспечения, в том числе предназначенного для скрытного шифрования файлов. 

Банки из топ-20

Вирус BadRabbit попытался атаковать российские банки из первой двадцатки, утверждают специалисты. По словам Ильи Сачкова, гендиректора компании Group-IB, которая занимается расследованием киберпреступлений, эксперты зафиксировали попытки заражения вирусом инфраструктур ряда российских банков, которые используют систему обнаружения вторжений, разработанную компанией.

• РИА Новости
• © Владимир Трефилов

«Эти файлы приходили туда во вторник с 13:00 до 15:00 мск. То есть на банки этот вирус тоже пытались распространить», — цитирует РИА Новости Сачкова.

Специалисты подчёркивают, что среди них были банки из топ-20, однако какие именно, не уточняется.

Он отметил, что эта ситуация показала, что банки используют более качественную защиту от кибератак по сравнению с компаниями небанковского сектора.

Как сообщается на странице Group-IB в Twitter, попытки кибератак со стороны вируса BadRabbit зафиксировала их система TDS Polygon.

Связь с NotPetya

Эксперты говорят о связи между BadRabbit и вирусом-шифровальщиком NotPetya, в июне 2017 года атаковавшим объекты на Украине.

«Совпадения в коде указывают на связь атаки с использованием BadRabbit с июньской эпидемией шифровальщика NotPetya, поразившего энергетические, телекоммуникационные и финансовые компании», — говорят эксперты Group-IB.

По информации компании, в атаке NotPetya содержались схожие алгоритмы.

«Если посетитель нажимал «скачать», происходила загрузка вредоносного программного обеспечения с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209», — рассказали эксперты.

Специалисты отметили, что с доменным именем связано множество других вредоносных доменов, первое проявление активности которых относится к 2011 году.

• РИА Новости
• © Владимир Трефилов

Около 200 кибератак

Между тем «Лаборатория Касперского» зафиксировала около 200 атак с применением вируса BadRabbit. Об этом говорится в отчёте компании, опубликованном на Securelist.

«Большинство целей находились в России. Меньшее число атак было замечено в других странах — на Украине, в Турции и Германии. В общей сложности было обнаружено почти 200 целей», — отмечается в сообщении.

Распространение вируса, по данным компании, происходило через заражённые СМИ.

Напомним, накануне ряд российских СМИ, в том числе информационное агентство Интерфакс, портал «Фонтанка.ру», сайт Федерального агентства новостей (ФАН) подверглись хакерской атаке. Сайт Интерфакса парализовал вирус-шифровальщик BadRabbit. Хакеры требовали выкуп в биткоинах.

«Атака на российские СМИ не была целенаправленной»

Министр связи и массовых коммуникаций РФ Николай Никифоров считает, что российские СМИ не были целью хакеров. По его словам, атакам подверглись объекты с недостаточным уровнем безопасности.

«В основном все подобные атаки связаны с тем, что не было вовремя проведено обновление программного обеспечения, грубо нарушались правила, определяющие, какие системы подключены, какие элементарные средства технической программной защиты установлены. В основном проблема в этом. А не в том, что та или иная организация была выбрана в качестве мишени и по ней велась целенаправленная работа. Чаще всего это не подтверждается», — сказал Никифоров в кулуарах Евразийского межправительственного совета.

Министр призвал не драматизировать ситуацию.

Также по теме

«Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ

Информационное агентство Интерфакс, портал «Фонтанка.ру» и ряд других российских СМИ во вторник подверглись хакерской атаке. Сайт...

«Мы всё время в таких атаках пытаемся видеть какую-то хорошо организованную преступную группировку, которая что-то хитро спланировала, делает целенаправленные шаги. Чаще всё намного банальнее — проблема в недостаточном уровне культуры кибербезопасности», — приводит РИА Новости слова Никифорова. 

Утром 25 октября первый заместитель генерального директора  Интерфакса Алексей Горшков сообщил о частичном восстановлении работы сервисов агентства. 

«Нам удалось восстановить работоспособность только частично. Мы наладили выпуск новостей, но, к сожалению, не все системы доставки новостей пока работают. У нас по-прежнему не работает интернет, и мы не можем по нашему сервису отправлять новости клиентам. Это основная задача», — сказал он в разговоре с ТАСС.

BadRabbit на Украине

О взломе своих серверов сообщили и в руководстве метрополитена в Киеве и аэропорта в Одессе. 

Позднее в Службе безопасности Украины (СБУ) заявили о блокировании дальнейшего распространения вируса BadRabbit в стране. 

По данным украинского ведомства, доставка вируса осуществлялась с использованием фишинговых писем электронной почты с обратным адресом, который ассоциируется со службой технической поддержки компании Microsoft.

«24 октября кибератаке по этой схеме подверглись, в частности, киевский метрополитен и одесский аэропорт, где в результате действия вируса типа «шифровальщик» было заблокировано функционирование службы регистрации пассажиров. Сейчас дальнейшее распространение вируса прекращено, угроз безопасности движения нет», — говорится в сообщении ведомства.