Эксперты нашли сходства между вирусами BadRabbit и NotPetya

26 октября 2017
566 0

Вирус BadRabbit, атаковавшего российские СМИ и стратегические объекты Украины, был собран из исходника вируса NotPetya. Кроме того, хакеры добавили новому вирусу уникальные функции, среди которых особый способ распространения по сети и удаление журналов действий, говорится в отчете Group-IB.

 

Эксперты пришли к выводу, что к распространению вирусов  BadRabbit и NotPetya причастна одна и та же группа хакеров. По мнению Group-IB, атака была целенаправленной. Как минимум в одном случае хакеры взломали компьютер разработчика одного сайта, и таким образом получили доступ к ресурсу.

Во время атаки использовался сервер, принадлежащий маркетинговой компании Jetmail. Как предполагают эксперты, доступ к их серверу ранее получила северокорейская хакерская группа Lazarus, которую подозревают в причастности к атакам на студию Sony Pictures и Центральный банк Бангладеш.

По данным Group-IB, хакеры «попыталась замаскироваться под обычную криминальную группу». Если вирус NotPetya требовал от пользователей всех зараженных компьютеров переводить деньги на один и тот же биткоин-кошелек, то BadRabbit генерировал для каждого компьютера уникальный ключ, а затем уникальный кошелек.

Первую атаку вируса эксперты зафиксировали в 11:17 мск 24 октября. На этапе загрузки вирус был обнаружен на сайтах «Новой газеты», «Фонтанки», «Аргументов и фактов» и других. В отчете Group-IB сказано, что атаки также планировались на банковские структуры России, но их вовремя отразили. Об успешно отраженной вирусной атаке позднее сообщили в Центробанке.

От атаки вируса также пострадали системы «Интерфакса», аэропорта в Одессе, метрополитена в Киеве и украинского Министерства инфраструктуры. Group-IB сообщала, что IP-адрес домена, который стоял за вирусом BadRabbitсвязан с пятью ресурсами, на владельцев которых зарегистрированы множество сайтов, в том числе и сервисы по продаже контрафактных лекарств. 

Летом вирус Petya и его модификации атаковали системы нефтяных, энергетических, телекоммуникационных и финансовых организаций России и Украины, а также других стран мира. В России атаке подверглись «Роснефть» и «Башнефть». Reuters также сообщало, что вирус заразил компьютеры «Газпрома».

 

Комментарии (0)

Комментирование доступно только подписчикам.
Оформить подписку
Другие новости
СМИ: МОК запретит российским спортсменам пройти под национальным флагом на закрытии Игр Сегодня в 03:40 The Telegraph узнала о доставке 400 кг «кокаина» из Аргентины в Москву на самолете Патрушева Сегодня в 00:23 Совбез ООН единогласно принял резолюцию о 30-дневном перемирии в Сирии Вчера в 22:43 Художник по костюмам фильма «Довлатов» получила «Серебряного медведя» на Берлинале Вчера в 22:22 Нотариусу из Ниццы предъявили обвинения по делу сенатора Керимова Вчера в 20:21 Бывший менеджер иностранного отдела «фабрики троллей» переехала жить в США Вчера в 20:58 ЦИК объяснил появление данных о явке на сайте тульского избиркома Вчера в 18:39 В Женском клубе Госдумы заступились за депутата Слуцкого, которого обвинили в домогательствах Вчера в 18:22 Сборная Канады по хоккею выиграла бронзовые медали Олимпиады Вчера в 17:36 Россиянина объявили в розыск по делу о попытке отправить 400 кг кокаина из Аргентины дипломатической почтой Вчера в 17:33

Читайте и смотрите новости Дождя там, где вам удобно
Нажав кнопку «Получать рассылку», я соглашаюсь получать электронные письма от телеканала Дождь и соглашаюсь с тем, что письма могут содержать информацию рекламного характера