Гендиректор Group-IB о вирусе BadRabbit: можно установить, кто атаковал

Гендиректор компании "Group-IB" Илья Сачков в эфире радио Sputnik рассказал, как удалось установить домен, распространивший вирус, и что теперь с этим делать.

Компания Group-IB, занимающаяся расследованиями киберпреступлений, определила доменное имя, откуда началось распространение вируса-шифровальщика BadRabbit. Об этом говорится в сообщении, размещенном на сайте компании.

"Расследование показало, что раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209", — говорится в сообщении.

Атака вируса-шифровальщика началась 24 октября. Среди жертв "Плохого кролика" оказались, в частности, российское информационное агентство "Интерфакс" и интернет-газета "Фонтанка". Пострадали также ресурсы Одесского аэропорта, Киевского метрополитена и Министерства инфраструктуры Украины.

"В ходе анализа установлено, что BadRabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код BadRabbit включает в себя части, полностью повторяющие NotPetya", — утверждают специалисты Group-IB.

Отмечается, что на связь атаки с использованием BadRabbit с предыдущей атакой NotPetya указывают совпадения в коде. В текущей атаке поменялось количество искомых имен процессов, а сама функция вычисления хеша была скомпилирована в виде отдельной функции компилятором.

Генеральный директор компании "Group-IB" Илья Сачков в эфире радио Sputnik рассказал, что имеющаяся зацепка позволит найти злоумышленников.

"Есть большая вероятность понять, откуда идут физические руки-ноги этой атаки. Можно установить, кто совершил атаку. Доменное имя было зарегистрировано еще в 2016 году, кто-то его оплачивает, с ним связано еще несколько вредоносных доменов. Люди, которые их создавали, действовали еще с 2011 года. То есть, на наш взгляд, довольно понятная преступная группа. Не факт, что именно она связана с этой атакой, но она занималась, в том числе, спамом и фишингом. В отличие от предыдущих атак, мы уже имеем некий человеческий след и логику, что позволит правоохранительным органам провести оперативно-розыскные мероприятия и задержать тех, кто это сделал", — отметил Илья Сачков.

По его словам, подобных вирусов может стать больше.

"Основной функционал вируса-шифровальщика – зашифровать компьютер и потребовать выкуп в 0.05 биткоинов (это примерно 300 долларов). Частичка кода похожа на вирус Petya. В основном, жертвы в России, на Украине и еще в нескольких странах Европы. Вирусов такого рода будет больше, потому что инструментарий находится в сети. То есть миллионы людей по всему миру могут его совершенствовать и запускать. На момент распространения вируса антивирусы его не детектировали. Злоумышленники не дураки – когда они что-то запускают, они тестируют вирус на большинстве антивирусных программ. В 2017 году нужно извлекать из этого уроки и уметь себя защищать. Компании, которые извлекли технические уроки после летних атак, почти не пострадали", — сказал Илья Сачков.