Як відомо, 24 жовтня в Україні були зафіксовано масштабні кібератаки двох вірусів-шифрувальників: Locky і Bad Rabbit (також відомий під ім'ям Win32/Diskcoder.D). Хоча кінцева мета кіберзлочинців, що стояли за організацією атак, була ідентичною — шифрування даних на диску користувача з подальшим вимаганням грошей, способи поширення шкідливого коду були кардинально різними.
Locky поширювався через фішингові розсилки електронних листів зі шкідливими вкладеннями, причому зворотна адреса асоціювалася зі службою підтримки Microsoft. Інфікування комп'ютера відбувалося після відкриття користувачем документів з розширенням .doc і .rtf. Шкідлива програма завантажувала та виконувала файл вірусу heropad64.exe, експлуатуючи вразливість у функції DDE офісного пакету. Далі вірус шифрував файли на диску і вимагав викуп у 0,05 біткоіна.
Жертвами Locky, зокрема, стали київський метрополітен і одеський аеропорт, де в результаті дії шкідливого ПЗ було заблоковано функціонування служби реєстрації пасажирів, а також ряд онлайн-ЗМІ.
Для поширення Bad Rabbit зловмисники пішли іншим шляхом: вони скомпрометували популярні сайти, запровадивши в них шкідливий JavaScript. Коли користувач заходив на заражений сайт, там з'являлося спливаюче вікно з пропозицією завантажити оновлення для Flash Player. Варто відзначити, що таке вікно з'являлося не завжди, а лише для «обраних» за особливим алгоритмом відвідувачів. За інформацією української кіберкомади CERT-UA, далі поширення вірусу в локальній мережі відбувалося через сканування внутрішньої мережі на наявність SMB-файлів з відкритим доступом, а також через протокол HTTP WebDAV, який заснований на HTTP і дозволяє використовувати Web як ресурс для читання і запису.
За даними антивірусних аналітиків ESET, Bad Rabbit — це модифікована версія вірусу Win32 / Diskcoder.C, більш відомого як Petya/NotPetya. У нової шкідливої програми виправлені помилки в шифруванні файлів. Тепер воно здійснюється за допомогою DiskCryptor — легітимного ПЗ з відкритим вихідним кодом, призначеного для шифрування логічних дисків, зовнішніх USB-накопичувачів і образів CD/DVD, а також завантажувальних системних розділів диска. Ключі генеруються з використанням CryptGenRandom і захищені жорстко закодованим відкритим ключем RSA 2048. Як і раніше, використовується алгоритм AES-128-CBC.
Кінцева мета Bad Rabbit — шифрування жорсткого диска комп'ютера і друк на екрані повідомлення з вимогою викупу в розмірі 0,05 біткоіна. Вірус вразив цілий ряд популярних російських і українських ЗМІ, а також деякі державні підприємства.
Успішність чергової кібератаки, спрямованої проти українських підприємств, свідчить про те, що бізнес і держоргани, як і раніше, приділяють дуже мало уваги інформаційному захисту, відзначають експерти ТОВ «ЕС АЙ ЦЕНТР». Надзвичайно важливо, щоб в компаніях дотримувалися загальних правил інформаційної безпеки, зокрема — регулярно оновлювали антивірусні програми й прикладне програмне забезпечення, не відкривали вкладення електронної пошти, в тому числі WORD-форматів, що надійшла від неперевіреного відправника. Також необхідно своєчасного створювати резервні копії критично важливих даних.
Нагадаємо, що для недопущення ризиків виникнення загроз для вашого бізнесу, компанія ТОВ «ЕС АЙ ЦЕНТР» пропонує послуги проведення аудиту безпеки інформаційних систем, що використовуються у вашій компанії. За результатами аудиту фахівці «ЕС АЙ ЦЕНТР» нададуть детальний звіт з рекомендаціями щодо посилення рівня захисту інформаційних систем в компанії замовника. Крім цього, в разі необхідності, «ЕС АЙ ЦЕНТР» допоможе впровадити в компанії потужні засоби інформаційної безпеки.