Group-IB: за атакой Bad Rabbit стоит группа хакеров, написавшая вирус NotPetya

По информации компании, атаку вируса-шифровальщика организовала группа хакеров под названием BlackEnergy

Компания Group-IB, которая занимается расследованием и предотвращением киберпреступлений, выяснила, что атака вируса-шифровальщика Bad Rabbit и эпидемия вируса NotPetya организована одной и той же группой хакеров под названием BlackEnergy. Об этом говорится в отчете Group-IB

Ранее в Group-IB говорили ТАСС, что автором вируса-шифровальщика Bad Rabbit мог быть тот же хакер или группа хакеров, которые написали предыдущего нашумевшего шифровальщика NotPetya. Тогда эксперты Group-IB в ходе анализа обнаружили в коде вируса Bad Rabbit специфичный участок кода, который совпадает с частью кода NotPetya.

"За атакой вируса-шифровальщика Bad Rabbit 24 октября 2017 года и эпидемией вируса NotPetya, атаковавшего в июне 2017 года энергетические, телекоммуникационные и финансовые компании на Украине, стоит одна и та же группа хакеров", - сообщается в отчете Group-IB. Эксперты обнаружили, что код Bad Rabbit был скомпилирован из исходников NotPetya, помимо этого у вирусов есть уникальные функции вычисления хэша, способ распространения по сети и удаление журналов. "Логика извлечения модулей и сами модули также подтверждают эту связь", - резюмировали в Group-IB.

В отчете отмечается, что некоторые модули Bad Rabbit были скомпилированы летом 2014 года. Именно в этом году группа BlackEnergy резко начала проявлять свою активность и использовать инструменты для работы с дисками. В Group-IB отметили, что хакеры в ходе атаки Bad Rabbit использовали старые инструменты из своих предыдущих атак.
"Плохой кролик" и "Петя"

Вирус-шифровальщик Bad Rabbit 24 октября атаковал сайты ряда российских СМИ. В частности, как сообщали "Лаборатория Касперского" и Group-IB, атакам подверглись информационные системы агентства "Интерфакс", а также сервер петербургского новостного портала "Фонтанка.ру". По данным Group-IB, атаки начались после полудня на Украине - вирус поразил компьютерные сети Киевского метрополитена, Министерства инфраструктуры, международного аэропорта Одессы.

Глава Group-IB Илья Сачков сообщал ТАСС, что Bad Rabbit пытался атаковать и российские банки из топ-20, однако попытки не увенчались успехом.

Замглавы лаборатории компьютерной криминалистики Group-IB Сергей Никитин говорил ТАСС, что основная волна распространения вируса-шифровальщика BadRabbit уже завершилась, хотя возможно еще будут зафиксированы единичные случаи заражения.

Пресс-секретарь американской корпорации Microsoft в России Кристина Давыдова сообщила ТАСС, что пользователи встроенного антивируса операционной системы Windows - Windows Defender Antivirus - защищены от вируса-шифровальщика Bad Rabbit.

В июне вирус под названием Petya атаковал нефтяные, телекоммуникационные и финансовые компании России, Украины и некоторые страны ЕС. Принцип его действия был таким же, как у Bad Rabbit, - вирус шифровал информацию и требовал выкуп в размере $300 в биткойнах. До этого в мае компьютеры по всему миру атаковал вирус WannaCry. На зараженных компьютерах блокировалась информация, а за разблокировку данных злоумышленники требовали $600 в биткойнах.