Компания Group-IB, занимающаяся расследованиями киберпреступлений, определила доменное имя, откуда началось распространение вируса-шифровальщика BadRabbit. Об этом говорится в сообщении, размещенном на сайте компании. (https://www.group-ib.ru/blog/badrabbit)
"Расследование показало, что раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209", — говорится в сообщении.
"В ходе анализа установлено, что BadRabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код BadRabbit включает в себя части, полностью повторяющие NotPetya", — утверждают специалисты Group-IB.
Отмечается, что на связь атаки с использованием BadRabbit с предыдущей атакой NotPetya указывают совпадения в коде. В текущей атаке поменялось количество искомых имен процессов, а сама функция вычисления хеша была скомпилирована в виде отдельной функции компилятором.
Генеральный директор компании "Group-IB" Илья Сачков в эфире радио Sputnik рассказал, что имеющаяся зацепка позволит найти злоумышленников.
"Есть большая вероятность понять, откуда идут физические руки-ноги этой атаки. Можно установить, кто совершил атаку. Доменное имя было зарегистрировано еще в 2016 году, кто-то его оплачивает, с ним связано еще несколько вредоносных доменов. Люди, которые их создавали, действовали еще с 2011 года. То есть, на наш взгляд, довольно понятная преступная группа. Не факт, что именно она связана с этой атакой, но она занималась, в том числе, спамом и фишингом. В отличие от предыдущих атак, мы уже имеем некий человеческий след и логику, что позволит правоохранительным органам провести оперативно-розыскные мероприятия и задержать тех, кто это сделал", — отметил Илья Сачков.
По его словам, подобных вирусов может стать больше.
"Основной функционал вируса-шифровальщика – зашифровать компьютер и потребовать выкуп в 0.05 биткоинов (это примерно 300 долларов). Частичка кода похожа на вирус Petya. В основном, жертвы в России, на Украине и еще в нескольких странах Европы. Вирусов такого рода будет больше, потому что инструментарий находится в сети. То есть миллионы людей по всему миру могут его совершенствовать и запускать. На момент распространения вируса антивирусы его не детектировали. Злоумышленники не дураки – когда они что-то запускают, они тестируют вирус на большинстве антивирусных программ. В 2017 году нужно извлекать из этого уроки и уметь себя защищать. Компании, которые извлекли технические уроки после летних атак, почти не пострадали", — сказал Илья Сачков.
Подписывайтесь на канал радио Sputnik в Telegram, чтобы у вас всегда было что почитать: злободневное, интересное и полезное.
А еще у радио Sputnik отличные паблики ВКонтакте и Facebook. А для любителей короткого, но емкого слова, — Twitter.