Вирус шифровальщик #BadRabbit

Специалисты по кибер-преступлениям  сообщили о волне атак вирусом-шифровальщиком на российские СМИ. Об этом говорится в сообщениях ряда специализированных агентств.

В России зафиксирована атака на СМИ вирусом-шифровальщиком. Стало известно как минимум о трех пострадавших редакциях. Ранее об атаках сообщили «Интерфакс» и «Фонтанка».

Глава Group-IB Илья Сачков сообщил RNS, что в случае с «Интерфаксом» и «Фонтанкой» речь идет именно об атаке вирусом-шифровальщиком.

«На данный момент, похоже на атаку вирусом-шифровальщиком, в частности в редакциях заблокированы экраны компьютеров», — сообщил он.

Кроме того, международный аэропорт Одесса официально подтвердил сообщение о кибератаке. Так же стало известно, что после кибератаки в киевском метро не принимают банковские карты

Вирусы-шифровальщики: что это вообще такое?

Еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ — основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

В 2017 году вирусы-шифровальщики вышли на новый уровень: использование киберпреступниками инструментов из арсеналов американских спецслужб и новых механизмом распространения привело к международным эпидемиям, самыми масштабные из них оказались — WannaCry и NotPetya. Несмотря на масштабы заражения, сами вымогатели собрали сравнительно ничтожные суммы — скорее всего это были не попытки заработать, а проверить уровень защиты сетей критической инфраструктуры предприятий, госведомств и частных компаний.

Что делать, чтобы избежать заражения #BadRabbit?

• Kill Switch: необходимо создать файл C:\windows\infpub.dat и поставить ему права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы.
• Оперативно изолируйте компьютеры, указанные в тикетах, если такие будут, а также убедитесь в актуальности и целостности резервных копий ключевых сетевых узлов.
• Обновите операционные системы и системы безопасности.
• Заблокируйте ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов
• В части парольной политики:
  Настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде
• Смените все пароли на сложные для предотвращения брута по словарю
• Поставьте пользователям блокировку всплывающих окон.
• Применяйте современные средства обнаружения вторжений и песочницу для анализа файлов.
  TDS Polygon успешно регистрирует факты пересылки подобных вредоносных файлов и создаёт соответствующие тикеты.

После того, как недавние атаки прогосударственных хакеров с помощью шифровальщиков с функционалом самораспространения показали свою эффективность, другие прогосударственные хакеры, вероятнее всего, начнут разрабатывать аналогичные инструменты. Это приведет к новым атакам.