08:18 16.12.2017
«Открытая карта» объявила выходные научных приключений
На петербургских ярмарках продадут украшения с орнаментом из Лувра и закуски из страуса
Александр Цыпкин представит новые беспринцЫпные истории о сексе
ТЮЗ отправит зрителей в Нарнию
Алешковский и Смехов обсудят на «Диалогах» самодержавие и театр
Theodor Bastard представят экспериментальную «Утопию»
«Разговоры» Бориса Павловича откроют новое театральное пространство
Арестован бизнесмен, близкий к главе администрации Подпорожского района
В США опубликовали новые документы об убийстве Кеннеди
Супертяж Поветкин вернулся на ринг, отстояв, что не замешан в допинге
«Кресты» покидают все: виновные и не очень
Греки наградили Путина медалью университета имени Демокрита
СБУ поймала и показала «российского шпиона», завербованного 20 лет назад
Четверо автоматчиков ограбили 80-летнюю кассиршу в Рябово
Трамп хочет казнить за убийство полицейских
Сотни палестинцев пострадали в столкновениях в Израиле
Захарченко рассказал о разработанном в ДНР оружии
Мнение: Перепродажи жилья сбивают цены в районах массовой застройки
Петербуржец преподал младшему брату урок послушания выстрелом из ружья
ОКР продолжит нести расходы на участие российских спортсменов в корейской Олимпиаде
Расходы российских туристов за рубежом в 2017 году выросли на 27%
Капремонт северной части Ярославского проспекта отложили
Тиллерсон: США не поддерживают российский план по КНДР
Пьяный гонщик в Репино сразил фонарный столб и выдумал ограбление
Россия засыпала Европу углем из Донбасса
В Петербурге задержан следователь за рекордную в 2017 году взятку
За самый дорогой диван в мире арестованы петербуржцы
Фонд имущества в 2018 году выставит на торги сорок дач в Курортном районе
Центробанк объяснил, почему взялся за санацию Промсвязьбанка
На КАД девушка врезалась в грузовик. В больницу ее доставили вертолетом
«ВКонтакте» впервые вручит музыкальную премию с Волей и Бекмамбетовым
Глава Фонда имущества: В центре города освободится миллион метров под инвестпроекты
Михаил Ходорковский – о приговоре Улюкаеву: «Отражает позицию Путина»
«Фонтанка» за 60 секунд — 11 — 15 декабря
Оппозиционера Расторгуева арестовали на девять суток
В пробке перед Большеохтинским обвинили ДТП
«Электросила» снова заработала в полную силу
Приговор Улюкаеву лишил Сечина сумки из-под долларов
Россия подписала протокол о возобновлении полетов в Египет
Главный спасатель вручил Кадырову генеральский кортик
Собери Улюкаева в тюрьму
Суд не поверил в сделку ясновидящей и подопечного психиатров
С реверсивкой на Большеохтинском что-то пошло не так
«Электросила» закрыта для пассажиров
Якутские варежки согреют петербургских сирот
В Петербурге 8-балльные пробки. Горожане предлагают плыть
Итоги недели: "Бесконечность" для Улюкаева
ФСБ прочесала Россию в поисках взрывчатки
«Санкт-Петербург арена» осталась без газона — теперь она похожа на огромный пляж
Россияне вернутся в Египет в 2018-м, но это будет недешево
ВТБ Капитал спрогнозировал ускорение инфляции с начала нового года
Арест на имущество Улюкаева сохранят до выплаты штрафа в 130 млн рублей
The Prodigy возвращаются в Россию
Сдавая назад, грузовик задавил пешехода в Петербурге
«Патриотическая» кража флага в Петроградском суде привела петербуржца к психиатру
В Петербурге террористы планировали взорвать Казанский собор
Петербурженка умерла из-за того, что в клинике не отличили межреберную невралгию от пневмонии
СК завершил расследование трех эпизодов в деле полковника Захарченко
ФИФА устранила проблемы с продажей в Крыму билетов на ЧМ-2018
На вопрос 47news президенту о ситуации с военными городками ответил министр обороны Шойгу
Клип петербуржцев про любовь Ким Чен Ына с ядерной боеголовкой собрал 5 млн просмотров
В «Красном треугольнике» появятся жилые дома, кинотеатр и даже ботанический сад
Движение до «Приморской» возобновлено
Кудрин: Приговор Улюкаеву «ужасен»
Участников экспедиции в Индийский океан от пиратов защитит морская пехота
В Петербурге приговорен «двойник Улюкаева»
ФСБ сорвала субботний теракт в Петербурге
Технологии

Не биткойна ради

«Фонтанка» обращается в правоохранительные органы в связи со взломом 24 октября, ударившим как по редакции, так и по читателям нашей газеты. Опрошенные нами эксперты согласны, что действие вируса не очень похоже на попытку заработать. Скорее на саботаж. Причем для «Фонтанки» был выбран особенный сценарий.
Не биткойна ради
©PressFoto/peus

Эксперты в деле кибербезопасности сходятся во мнении, что «Фонтанка» стала мишенью для организаторов вирусной атаки BadRabbit из-за популярности ресурса. 

«Атака была организована следующим образом: злоумышленники заблаговременно зарегистрировали домен, на котором разместили вредоносное ПО. Далее в течение некоторого времени они взломали несколько популярных ресурсов, в частности «Фонтанку», – объяснил начальник отдела  анализа защищенности компании «Информзащита» Павел Сорокин. – Получив контроль над веб-сайтом, злоумышленники поставили на некоторых страницах сайта переадресацию на свой домен, по переходу на который происходила загрузка вымогательского ПО».

Правда, министр связи и массовых коммуникаций РФ Николай Никифоров назвал атаку шифровальщика именно на российские интернет-СМИ «шальной пулей». Однако ежедневная посещаемость «Фонтанки» составляет около 250 тысяч читателей. Главный редактор «Фонтанки» Александр Горшков считает,  что атака на интернет-газету заказана персонами, мечтающими, чтобы Петербург ничего не знал

Как уточнили в «Информзащите», со стороны пользователя все это выглядело таким образом: он заходил на сайт «Фонтанки», переходил по ссылке на новость (происходила переадресация), и ему предлагалось обновить Adobe Flash Player. Пользователь соглашался, файл скачивался и запускался. Далее вирус начинал распространяться внутри сети, шифровал все скомпрометированные компьютеры и требовал выкуп за расшифровку. За расшифровку файлов злоумышленники требовали по нынешним курсам немало: 0,05 биткойна (283 доллара, или 15 700 рублей).

А вот как выглядело «нападение» хакеров со стороны технической службы «Фонтанки». «Злоумышленники, воспользовавшись уязвимостью в программном обеспечении, разместили ссылку на вредоносное ПО на нашем сайте под видом рекламного модуля, – пояснил руководитель службы информационных технологий «Фонтанки.ру» Дмитрий Олейник. – В течение некоторого времени посетители сайта получали предложение обновить Adobe Flash Player, и приняв это предложение, запускали на своем компьютере вирус, шифрующий их данные. Это обычный способ распространения подобных программ, и авторы вирусов-шифровальщиков стараются не афишировать источник распространения вредоносов – они материально заинтересованы в максимально долгом «сроке жизни» взломанных сайтов. В нашем случае, однако, через полчаса-час распространения вредоноса злоумышленники заменили главную страницу сайта, замаскировав ее под стандартное предупреждение безопасности браузера – «данный сайт распространяет вредоносное программное обеспечение и будет заблокирован». Таким образом, мы имеем основания предполагать, что основной целью злоумышленников был не заработок биткойнов за разблокировку зашифрованных данных, а нанесение ущерба деловой репутации «Фонтанки» и снижение доверия посетителей к сайту».

Дело в том, что ни на одном из взломанных сайтов, кроме «Фонтанки», злоумышленники не размещали подобных предупреждений о небезопасности.

«Анализ файлов на домене в сети TOR показал, что сайт был подготовлен еще 19 октября, а сама вредоносная программа содержала дату подписи сертификатом от 25 октября, хотя атака началась 24 октября. Некоторые из модулей содержат дату компиляции за 22 октября. Все это говорит о том, что атака была тщательно спланирована и, скорее всего, предполагалась 25 октября», – рассказали в Group-IB. В «Лаборатории Касперского» меж тем считают, что группировка готовила атаку BadRabbit как минимум с июля 2017-го. «В июле 2017 года исследователи «Лаборатории Касперского» обнаружили связь между APT BlackEnergy и авторами зловреда ExPetr, – пояснил руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. – Много общего было найдено в коде старой версии KillDisk от BlackEnergy и коде ExPetr. Эти параллели были впервые обнаружены в списке расширений файлов, в которые целились BlackEnergy и ExPetr».

«В самой атаке нет ничего нового, так киберпреступники уже делали раньше, – утверждает директор по продуктовому и технологическому позиционированию Acronis Александр Иванюк. – Очевидно, что работали не новички, потому что смогли скомпилировать функциональность нескольких шифровальщиков в один семпл. Так что, скорее всего, за BadRabbit стоит несколько человек». По словам эксперта Acronis, стоила такая атака минимум несколько тысяч долларов.

Кто стоит

Увы, эксперты в кибербезопасности не отвечают на этот вопрос «поименно». В Group-IB утверждают, что за атакой вируса-шифровальщика BadRabbit и эпидемией вируса NotPetya стоит одна и та же группа хакеров. «Мы обнаружили, что код BadRabbit был скомпилирован из исходников NotPetya, есть уникальные функции вычисления хеша, способ распространения по сети и удаление журналов, – рассказал эксперт по киберразведке Group-IB Рустам Миркасымов. – Логика извлечения модулей и сами модули также подтверждают эту связь». 

«За атакой BadRabbit может стоять как небольшая преступная группа из двух-трех человек, так и более серьезная, возможно, включающая в свой состав создателей NonPetya группировка BlackEnergy, – уточняет Александр Иванюк. – Но очевидно, что это или не профессионалы экстра-класса, так как использованный сертификат фальшивый, много ставок сделано на ошибки со стороны пользователя и сложно было ожидать огромной эпидемии при такой схеме работы шифровальщика. Или же это было тестовое нападение, для того, чтобы проверить готовность пользователей противостоять вымогателям и текущую работоспособность схемы распространения шифровальщиков».

«Располагая только инструментами антивирусной компании, достоверно установить, кто стоит за атакой, невозможно, – были еще более осторожны представители компании ESET. – Назвать причастных можно только при наличии исчерпывающих доказательств».

«Определить настоящий источник проведения компьютерной атаки техническими методами практически невозможно на данный момент времени. Существует обширный набор различных техник сокрытия настоящих адресов, в том числе использование прокси-узлов, TOR-сети, взломанных серверов, грамотное применение которых надежно скрывает следы», – не оставил шансов найти «точку сборки» Павел Сорокин.

«Сейчас необходимо определить цели этой атаки, предположительно это могут быть как финансовая выгода, так и уничтожение данных и саботаж», – ничего не исключает Вячеслав Закоржевский.

Кого задело

Атака началась с распространения вредоносного ПО через российские и украинские СМИ и сторонние порталы, однако стоит отметить, что были зафиксированы заражения в Турции, США, Германии, Болгарии, Японии. 

«На Россию пришлось больше половины – 65% всех атак», – уточняет Александр Иванюк (отметим, что в случае с предыдущими инкарнациями вируса звучала версия о его русском следе. – Прим. ред.). «Украина – 12,2%, Болгария – 10,2%, Турция – 6,4%, Япония – 3,8%, другие страны – 2,4%», – продолжает статистику руководитель поддержки продаж ESET Russia Виталий Земских. «Распространение BadRabbit было массовым, хотя жертв оказалось гораздо меньше, чем в случае с NotPetya. На Украине в результате атаки BadRabbit пострадали несколько стратегических объектов (аэропорт, метро, госучреждения), в России — редакции федеральных СМИ. Также были зафиксированы факты попыток заражений банковских инфраструктур, правда, неудачные», – завершили картинку в Group-IB. 

Куда бежать

Совет специалистов по кибербезопасности почти всегда одинаков, когда пользователи сталкиваются с вирусом: иметь на компьютере антивирусную защиту и защищённый бекап (резервное копирование данных. – Прим. ред.)

Кроме того, необходимо регулярно обновлять операционную систему и сторонний софт. «Но важно помнить о том, что сторонний софт не обновляется с новостных сайтов, – уточняет Александр Иванюк. – Он или обновляется автоматически сам (данная функция есть сейчас почти во всем популярном софте), или же его нужно обновлять с сайта производителя этого софта». «Для компаний необходимо внедрять системы защиты web и почтового трафика, использовать механизмы песочницы (sandbox) для обнаружения вредоносного ПО», – добавляет  менеджер по развитию бизнеса в области информационной безопасности Orange Business Services в России и СНГ Андрей Прошин. Если заражение произошло, Вячеслав Закоржевский предостерегает: «Никогда не платите злоумышленникам выкуп. В случае с Bad Rabbit происходит шифрование как пользовательских файлов, так и диска. Для шифрования диска используется легитимная утилита шифрования – DiskCryptor. Если у вас есть возможность, сохраните образ диска. На данный момент специалисты работают над установлением возможности расшифровки».

И в качестве постскриптума: «Лаборатория Касперского» в ходе анализа образцов угрозы BadRabbit отметила интересную деталь: по всей видимости, авторы вредоносной программы являются поклонниками «Игры престолов». Некоторые строки в коде представляют собой имена персонажей из этой вселенной.

Николай Нелюбин, специально для «Фонтанки.ру»


Подписывайтесь на канал "Фонтанка.ру" в Telegram, Viber или группу ВКонтакте, если хотите быть в курсе главных событий в Петербурге - и не только.

СМИ2
MarketGid News
24СМИ. Агрегатор
Магазин "Кей"
Специалисты КЕЙ сравнивают разные поколения iPhone
Сейчас в продаже находятся различные модели телефонов Apple от последних iPhone X, iPhone 8 и iPhone 8 Plus, до по-прежнему востребованного iPhone 5s. Специалисты КЕЙ постарались разобраться, чем они отличаются друг от друга и есть ли смысл гнаться за новинками
https://pixabay.com
Айтрекеры помогут детям и взрослым с инвалидностью учиться, работать, общаться
В России стали доступны айтрекеры - специальные устройства для управления компьютером только с помощью глаз. Эта передовая технология позволяет детям и взрослым с инвалидностью выполнять на любом ноутбуке или планшете широкий спектр задач: набор текста, поиск информации, просмотр видео, общение в социальных сетях и популярных сервисах обмена сообщениями.
https://www.aeroflot.ru/ru-ru/about/aeroflot_today/photobank
Аэрофлот вошел в ТОП-5 лучших авиакомпаний мира для вегетарианцев
Аэрофлот занял четвертое место среди лучших в мире авиакомпаний для вегетарианцев. Рейтинг составлен международной ассоциацией ProVeg, которая занимается популяризацией питания без животных продуктов
Магазин "Кей"
Выбираем подарок для девушки на Новый год со специалистами КЕЙ
В этот день все ждут настоящего чуда и специалисты компании КЕЙ помогут Вам подобрать достойный презент, который не оставит равнодушной Вашу любимую женщину
ПАО «Банк «Санкт-Петербург»
Мобильный сайт Банка «Санкт-Петербург» стал продуктом года
8 декабря 2017 года в Сочи состоялось награждение лауреатов премии «Время инноваций 2017» - независимой награды за достижения в области инновационной деятельности, получившие общественное и деловое признание. Мобильный сайт Банка «Санкт-Петербург» m.bspb.ru стал лауреатом премии в номинации «Продукт года» в категории «Финансовые услуги»
https://pixabay.com
Виртуальный дом — современный подход к обустройству квартиры для инвалида
Специализированный интернет-магазин товаров для инвалидов «Стар и Млад» представил авторский проект «Виртуальный дом», который позволяет подробно рассмотреть каждое помещение в доме, определиться с самыми проблемными зонами и правильно расставить приоритеты при обустройстве дома для граждан с ограниченными возможностями здоровья и пожилых людей
Магазин "Кей"
5 критериев выбора классной 3D-ручки от экспертов компании КЕЙ
Появившись на рынке не так давно и успев завоевать внимание покупателя, 3D-ручки продолжают набирать популярность, предлагая пользователям все новые и новые возможности
https://pixabay.com
Как организовать комфортный быт незрячему
Людям с инвалидностью по зрению сложно ориентироваться в пространстве. Они испытывают трудности не только на улице, но и дома. Чтобы упростить жизнь и быт незрячих, используют специальные средства. Полезные приспособления есть практически для каждой сферы жизни.
«Главстрой-СПб»
«Главстрой-СПб» вывел в продажу квартиры с готовыми кухнями
Компания «Главстрой-СПб», входящая в строительный сектор одной из крупнейших российских диверсифицированных промышленных групп «Базовый Элемент», расширяет предложение для своих клиентов. Теперь покупатели могут выбрать не только один из двух стандартов отделки, но и квартиру с установленной кухней, включающей необходимую бытовую технику