Обновление 2! Сообщается, что несколько российских информационных агентств и дополнительных целей на Украине попали в кибератаки, которые, по мнению группы безопасности GroupIB, основаны на новом варианте Petya под названием BadRabbit.
GroupIB сообщила в Twitter, что информационное агентство « Интерфакс» не работает из-за кибератаки. «Интерфакс» подтвердил отчет и продолжал размещать новостные сюжеты вместе с обновлениями на своей собственной ситуации на своей странице в Facebook . «Чек-Пойнт» сказал, что украинские объекты включают Киевский метрополитен (украинские железнодорожные службы), Одесский аэропорт (Украина), украинские министерства инфраструктуры и финансов.
Ранние отчеты показывают, что BadRabbit распространяется через поддельное обновление Adobe Flash Player, которое появляется на некоторых российских сайтах новостей, и злоумышленник требует выкупа в размере 0,05 биткойна, около 280 долларов США. Изображения, размещенные на Twitter, показывают, что примечание о выкупе написано на английском языке, хотя ни одна англоговорящая страна не была отмечена хитом.
На этом раннем этапе также есть некоторые разногласия по поводу того, использует ли вредоносное ПО тот же эксплойт EternalBlue или что-то подобное, которое было успешно использовано Wannacry и Petya в начале этого года. Check Point отметила, что экран блокировки, отображаемый после шифрования компьютера с использованием программного обеспечения DiskCryptor с открытым исходным кодом, аналогичен тому, что использовалось при атаках Petya и NotPetya.
«Тем не менее, это единственное сходство, которое мы можем наблюдать между обоими вредоносными программами, во всех других аспектах BadRabbit — это совершенно новое и уникальное вымогательство», — говорится в заявлении Check Point в SC Media.
Дейв Маасланд, управляющий директор ESET, сказал в твиттере, что EtneralBlue не играет с BadRabbit.
«Теперь мы можем подтвердить, ни один Eternalblue или какой-либо другой эксплойт SMB внутри, протокол SMB используется только для проверки жестко заданных учетных данных», — написал он в твиттере.
Однако Ник Карр (Nick Carr), консультант по безопасности и реагирование на инциденты в Mandiant, опубликовал в Twitter, что BadRabbit падает и выполняет c: \ windows \ infpub.dat по порядковой функции, и он ожидает много общего с EternalPetya с этой новой атакой.
Адам Мейерс, вице-президент CrowdStrike по разведке, сказал, что первоначальное расследование предполагает несколько параллелей с вредоносным ПО NotPetya, хотя проверка этих перекрытий продолжается в настоящее время.
Кроудстрик также полагает, что «BadRabbit, скорее всего, будет доставлен через веб-сайт argumentiru [.] Com, который
«Появляются сообщения о том, что этот механизм предполагает использование инструмента Mimikatz для кражи паролей, которые распространяются червями, но пока что ущерб не кажется столь же распространенным, как WannaCry или NotPetya», — сказал Крис Доман, аналитик по безопасности AlienVault.
