Первое мая! Первое мая! Очередная вспышка нового вымогателя попала в основную инфраструктуру Украины и России, включая несколько транспортных организаций, а также многие правительственные организации, и работает под названием «Плохой кролик» .
Согласно сообщениям СМИ, многие компьютеры были зашифрованы с помощью этой кибератаки. Публичные источники подтвердили, что компьютерные системы Киевского метрополитена, а также одесский аэропорт, а также другие многочисленные организации из России пострадали.
Вредоносным ПО, использованным для этой кибер-атаки, было «Disk Coder.D» - новый вариант вымогателя, который в народе назывался «Петя». Предыдущая кибератака Disk Coder нанесла ущерб в глобальном масштабе в июне 2017 года.
ESET о плохом кролике.
Система телеметрии ESET сообщает о многочисленных случаях использования Disk Coder. Однако в России и на Украине обнаружены случаи кибератак на компьютеры из Турции, Болгарии и некоторых других стран.
В настоящее время исследователи безопасности ESET проводят комплексный анализ этого вредоносного ПО. Согласно их предварительным выводам, Disk Coder. D использует инструмент Mimikatz для извлечения учетных данных из уязвимых систем. Их выводы и анализ продолжаются, и мы будем держать вас в курсе, как только появится дополнительная информация.
Система телеметрии ESET также сообщает, что на Украину приходится всего 12, 2% от общего числа случаев, когда они видели заражение «плохим кроликом». Ниже приведены остальные статистические данные:
- Россия: 65%
- Украина: 12, 2%
- Болгария: 10, 2%
- Турция: 6, 4%
- Япония: 3, 8%
- Другое: 2, 4%
Вышеупомянутое распределение стран было скомпрометировано Плохим Кроликом соответственно. Интересно, что все эти страны пострадали одновременно. Вполне вероятно, что группа уже проникла в сеть пострадавших организаций.
Как.
Метод распространения, используемый для Bad Rabbit - «Drive-By Download». Проще говоря, загрузка с диска - это непреднамеренная загрузка, отображаемая на веб-сайтах или в электронных письмах. В этих случаях «поставщик» утверждает, что пользователь «согласился» на эту конкретную загрузку, хотя пользователь фактически не знал о начале загрузки нежелательного или вредоносного программного обеспечения.
Аналогично, в случае с Bad Rabbit мы видели до сих пор всплывающее окно с просьбой загрузить обновленную версию Adobe Flash Player, как показано ниже.
Как только кто-то нажимает кнопку загрузки, загружается исполняемый файл. Этот исполняемый файл, т.е. install_flash_player.exe, является дроппером для Bad Rabbit. В конечном счете, компьютер блокируется и показывает записку с требованием выкупа следующим образом.
Кроме того, страница оплаты Bad Rabbit выглядит примерно так.
Ниже приведены взломанные сайты.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // ан-crimearu
- hxxp: //www.t.ksua
- hxxp: // самый dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Что теперь?
Кибер-атаки сегодня переросли во многие лица. Интернет больше не является безопасным местом, поэтому настоятельно рекомендуется использовать подлинный VPN; особенно при подключении к общедоступному Wi-Fi.
Создайте надежно зашифрованный туннель между вами и Интернетом с ведущим в отрасли поставщиком услуг VPN, Ivacy VPN, и получите контроль над своим присутствием в Интернете и защитите свои ценные данные.
