Центр кибербезопасности ФГУП «ЗащитаИнфоТранс» сообщает, что 24 октября 2017 года в России и на Украине произошла масштабная кибератака с использованием вируса-шифровальщика «BadRabbit». На Украине были атакованы компьютеры и серверы Киевского метрополитена, Международного аэропорта «Одесса» и Министерства инфраструктуры. В России кибератаке подверглись редакции федеральных СМИ, также были зафиксированы попытки заражения российских банков из топ-20. Распространение этого вируса стало уже третьим подобным инцидентом в 2017 году.
Установлено, что заражение происходит после посещения пользователями легитимных сайтов, которые уже были заражены. В HTML-код скомпрометированных ресурсов атакующими загружается JavaScript-инжект, который демонстрирует посетителям поддельное всплывающее окно, предлагающее установить обновление Adobe Flash Player. Если пользователь нажимает «скачать», то происходит загрузка вредоносного программного обеспечения с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209.
После заражения жертва видит на своем экране окно с текстом, в котором указан индивидуальный код и адрес сайта в сети Tor, на котором запускается автоматический счетчик. На странице необходимо указать персональный код, после чего появляется биткоин-кошелек, на который злоумышленники требуют перевести 0,05 биткоина (около 283 долларов США или 16 тысяч рублей). Кроме этого, на странице идет отсчет времени до увеличения стоимости выкупа.
Установлено, что «BadRabbit» является модифицированной версией вируса NotPetya. В коде «BadRabbit» встречаются части, полностью повторяющие код NotPetya.
Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» для защиты от вредоносного ПО, в частности от вируса «BadRabbit», рекомендуют:
Использовать современные антивирусные средства и средства обнаружения вторжений.