Si Center входит в состав:
другие компании:
ПРО КОМПАНИЮ
ПРО КОМПАНИЮ
КОМПЕТЕНЦИИ ПРОЕКТЫ НОВОСТИ
НОВОСТИ
КОНТАКТЫ
Вернуться к новостям
«ЭС АЙ ЦЕНТР» провела анализ атаки двух вирусов-шифровальщиков

Как известно, 24 октября в Украине были зафиксированы масштабные кибератаки двух вирусов-шифровальщиков: Locky и Bad Rabbit (также известен под именем Win32/Diskcoder.D). Хотя конечная цель киберпреступников, стоявших за организацией атак, была идентичной — шифрование данных с последующим вымогательством денег, способы распространения вредоносного кода были кардинально разными.

Locky распространялся через фишинговые рассылки электронных писем с вредоносными вложениями, причем обратный адрес ассоциировался со службой поддержки Microsoft. Инфицирование компьютера происходило после открытия пользователем документов с расширением .doc и .rtf. Зловред загружал и исполнял файл вируса heropad64.exe, эксплуатируя уязвимость в функции DDE офисного пакета. Далее вирус шифровал файлы на диске и требовал выкуп в 0,05 биткоина.

Жертвами Locky, в частности, стали киевский метрополитен и одесский аэропорт, где в результате действия вредоносного ПО было заблокировано функционирование службы регистрации пассажиров, а также ряд онлайн-СМИ.

Для распространения Bad Rabbit злоумышленники пошли по другому пути: они скомпрометировали популярные сайты, внедрив в них вредоносный JavaScript. Когда пользователь заходил на зараженный сайт, там появлялось всплывающее окно с предложением загрузить обновление для Flash Player. Стоит отметить, что такое окно появлялась не всегда, а лишь для «избранных» по особому алгоритму посетителей. По информации украинской киберкомады CERT-UA, далее распространение вируса в локальной сети происходило через сканирование внутренней сети на наличие SMB-файлов с открытым доступом, а также протокол HTTP WebDAV, который основан на HTTP и позволяет использовать Web как ресурс для чтения и записи.

По данным антивирусных аналитиков ESET, Bad Rabbit – это модифицированная версия вируса Win32/Diskcoder.C, более известного как Petya/NotPetya. В новой вредоносной программе исправлены ошибки в шифровании файлов. Теперь оно осуществляется с помощью DiskCryptor – легитимного ПО с открытым исходным кодом, предназначенного для шифрования логических дисков, внешних USB-накопителей и образов CD/DVD, а также загрузочных системных разделов диска. Ключи генерируются с использованием CryptGenRandom и защищены жестко закодированным открытым ключом RSA 2048. Как и прежде, используется алгоритм AES-128-CBC.

Конечная цель Bad Rabbit — шифрование жесткого диска компьютера и вывод сообщения с требованием выкупа в размере 0,05 биткоина. Вирус поразил целый ряд популярных российских и украинских СМИ, а также некоторые государственные предприятия.

Успешность очередной кибератаки, направленной против украинских предприятий, свидетельствует о том, что бизнес и госорганы по-прежнему уделяют очень мало внимания информационной защите, отмечают эксперты ООО «ЭС АЙ ЦЕНТР». Чрезвычайно важно, чтобы в компаниях придерживались общих правил информационных безопасности, в частности — регулярно обновляли антивирусное и прикладное программное обеспечение, не открывали вложения электронной почты, в том числе WORD-форматов, поступившей от непроверенного отправителя. Также необходимо своевременного создавать резервные копии критически важных данных.

Напомним, что для недопущения рисков возникновения угроз для вашего бизнеса, компания ООО «ЭС АЙ ЦЕНТР» предлагает услуги проведения аудита безопасности информационных систем, используемых в вашей компании. По результатам аудита специалисты «ЭС АЙ ЦЕНТР» предоставят детальный отчет с рекомендациями по усилению уровня защиты информационных систем в компании заказчика. Кроме этого, в случае необходимости, «ЭС АЙ ЦЕНТР» поможет внедрить в компании мощные средства информационной безопасности.

опубликовано:
27.10.2017
автор:
SI Center
Поделиться: