СюжетыОбщество

Ловцы на доверии

После появления вируса Bad Rabbit cпециалисты прогнозируют новые атаки

Этот материал вышел в номере № 120 от 27 октября 2017
Читать
Вирус-шифровальщик Bad Rabbit только за два дня заработал на вымогательстве у пользователей более 10 тысяч долларов США. Больше всего пострадали компьютеры в России и Украине, также были зафиксированы случаи взломов в Турции и Германии. Вирус работает не по принципу уязвимости компьютерной системы, он ловит пользователей на доверчивости. В 2017 году уже было две громких истории с вирусами: WannaCry и Petya. Особенность Bad Rabbit в том, что он особенно «любит» корпоративные сети (а не личные). Поэтому в России, по данным прессы, он уже успел поразить сайт информационного агентства «Интерфакс», петербургского издания «Фонтанка», а также попытался взломать сайты банков. На Украине хакеры добрались до сети Киевского метрополитена и международного аэропорта Одессы.

Сергей Никитин

заместитель руководителя лаборатории по компьютерной криминалистике Group-IB

О том, как можно заразить компьютер вирусом

— Вы просматриваете сайт и вдруг видите всплывающее окно, которое предлагает вам установить новую версию устаревшего на вашем компьютере Flash Player. Вы запускаете скачивание этого плеера, после чего ваш компьютер шифруется вирусом и он начинает вымогать деньги. На нем появляется черный экран с требованием выкупа в 0,05 биткойна — это почти 300 долларов. Почему это чаще происходит не на домашних устройствах? С компьютера, который находится в корпоративной сети, легче похитить из оперативной памяти логины и пароли не его одного, а всех компьютеров сети. И используя эти логины и пароли, если хватает прав, можно по цепочке заражать каждый следующий компьютер в сети.

О том, как банки отбили атаку, а СМИ — нет

— Банки уже достаточно давно находятся под вирусными атаками, часто весьма успешными. Они привыкли отражать такие угрозы. В большинстве банков запрещено скачивать что-либо на компьютеры. Мы зафиксировали, что в банках пользователи также пытались скачать обновление Flash Player, однако у них не получилось. Их остановили те же «песочницы» (режим работы операционной системы, который блокирует атаку на самом раннем этапе). Например, наша «песочница» отследила в час дня в среду первые попытки скачивания в банках, которые мы обслуживаем. Судя по всему, что касается СМИ, работники, которые сами читают свой сайт (проверяют верстку, например, или просматривают материалы коллег), сидели на сайте и увидели всплывающее окно — скачали, запустили и сами заразились. То есть если ваш ресурс взломан, окно может всплыть в любой момент, пока вы что-то на сайте читаете. Это может быть любой пользователь в любой точке мира, в большинстве случаев сейчас это русскоязычные и украиноязычные сайты.

Об отличиях от других вирусов этого года — WannaCry и Petya

— Здесь все-таки от пользователя требуются активные действия. Ты должен сам зайти на сайт обновления, сам подтвердить загрузку. У WannaCry и Petya была ситуация на уязвимость, достаточно было просто выйти в интернет, и вы заражались. Между Petya и Bad Rabbit различие в том, что само шифрование другое. Но мы нашли и у Petya, и у Bad Rabbit очень характерные совпадающие участки кода, которые прямо нас наталкивают на мысль, что либо у этих вирусов один автор, либо это какой-то подражатель.

О прогнозе на «уничтожение» вируса

— Сама атака сильно проще, нежели у прошлых вирусов, и уже вчера ночью практически все компании стали вносить в свои системы стоп-листы. Тем не менее пока ни от одного зараженного клиента не приходило оповещение, что была сделана успешная разблокировка. То есть технически вроде весь инструментарий, чтобы расшифровать, есть. Подтвердить, что, заплатив выкуп, можно получить себе назад обезвреженный компьютер, мы до сих пор не можем. Главное, к чему нужно быть готовым: такие атаки будут повторяться. Учитывая, что до сих пор люди открывают и ведутся на всплывающие окна. Это как лакмусовая бумажка, которая показывает, что у нас пользователей легко обмануть и заставить нажать на нужную хакерам ссылку.

shareprint
Добавьте в Конструктор подписки, приготовленные Редакцией, или свои любимые источники: сайты, телеграм- и youtube-каналы. Залогиньтесь, чтобы не терять свои подписки на разных устройствах
arrow