Вирус Badrabbit пытался атаковать российские банки из топ-20

25.10.2017 10:05


Вирус-шифровальщик BadRabbit пытался атаковать крупнейшие российские банки, сообщается в Facebook компании Group-IB, занимающейся расследованиями киберпреступлений.

"В России была попытка атаковать банки из топ-20, но они оказались неудачными. Наша система TDS Polygon уведомила пользователей о попытках заражения", - говорится в заявлении.

Генеральный директор и основной владелец компании Илья Сачков рассказал ТАСС, что Group-IB зафиксировала попытки заражения вирусом инфраструктур ряда российских банков, которые используют систему обнаружения вторжений компании. "Эти файлы приходили туда во вторник с 13:00 до 15:00 мск. То есть на банки этот вирус тоже пытались распространить", - сообщил Сачков. Он уточнил, что среди этих банков есть банки из топ-20, но какие именно - не сказал.

Глава Group-IB отметил, что эта ситуация демонстрирует более качественную защиту банков от кибератак по сравнению с компаниями небанковского сектора. "Основные сложные атаки происходят против банков. Банки как боксер, который больше дерется, - у него лучше практика, и, соответственно, он сильнее", - добавил он.


По анализу кода установлена связь между Bad Rabbit и шифровальщиком Not Petya, в июне 2017 года атаковавшим энергетические, телекоммуникационные и финансовые компании на Украине. Загрузка вредоносного программного обеспечения происходила с ресурса 1dnscontrol.com. С ним связано несколько других ресурсов, которые могут использоваться для проведения аналогичных атак, рассылки спама, фишинга.


На сайте Group-IB сообщается, что 24 октября на Украине и в России произошла масштабная кибератака с использованием вируса-шифровальщика BadRabbit. Вирус атаковал компьютеры и серверы Киевского метрополитена, Министерства инфраструктуры, Международного аэропорта "Одесса". Несколько жертв оказались и в России — в результате атаки пострадали редакции федеральных СМИ, а также были зафиксированы факты попыток заражений банковских инфраструктур. Сообщения о заражении поступили из Турции и Германии.

Заражение происходило после захода на взломанные легитимные сайты. Специалистами Group-IB установлено, что вредоносная программа распространялась с помощью веб-трафика с взломанных интернет-ресурсов, среди которых были украинские и российские сайты http://www.fontanka.ru/, http://argumenti.ru, http://argumentiru.com.


Чтобы избежать заражения BadRabbit, необходимо создать файл C:\windows\infpub.dat и поставить ему права "только для чтения". После этого даже в случае заражения файлы не будут зашифрованы. Необходимо оперативно изолировать компьютеры, указанные в тикетах, если такие будут, а также убедиться в актуальности и целостности резервных копий ключевых сетевых узлов, обновить операционные системы и системы безопасности, заблокировать ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов.

В части парольной политики надо настройками групповой политики запретить хранение паролей в LSA Dump в открытом виде, сменить все пароли на сложные для предотвращения брута по словарю, поставь пользователям блокировку всплывающих окон, применять современные средства обнаружения вторжений и песочницу для анализа файлов. TDS Polygon успешно регистрирует факты пересылки подобных вредоносных файлов и создаёт соответствующие тикеты.
Поделиться ВКонтакте Поделиться в Facebook Поделиться в Twitter
Рост цен и борьба с ним

Соглашение предусматривает обязательства компаний по поставкам топлива на рынок на уровне прошлого года плюс 3%. При этом оптовые цены на нефтепродукты фиксируются на уровне июня текущего года.

Санкции против России и ответ на них

Сандерс: "Лидеры обсудили множество спорных вопросов, в том числе Договор о ликвидации ракет средней и меньшей дальности, Сирию, торговлю, ситуацию в Саудовской Аравии, санкции, Афганистан, Китай и Северную Корею".

Национальная ассоциация профессиональных коллекторских агентств разработает стандарты по отбору и оценке эффективности агентств, которые помогут увеличить объем передаваемых им долгов россиян по жилищно-коммунальным услугам.

ГИБДД: "Административная ответственность за эксплуатацию транспортного средства категорий М1 и N1, неукомплектованного зимними шинами в зимнее время, в Кодексе Российской Федерации об административных правонарушениях не установлена".

Муниципальные власти Одесской области уведомили о сибирской язве, выявленной у коровы в личном хозяйстве одной из деревень Саратского района. Специалисты, прибывшие по экстренному вызову хозяина животного, диагностировали сибирскую язву. Среди жителей деревни заболевших нет.