18:41 26.04.2018
В Петербурге арестован глава ТИК №3 Кировского района
Овраг Петровского дока частично обрушился в ожидании музеефикации
Джаред Лето спел с петербуржцами в центре города
Ректор ИТМО о блокировке Telegram: Если Роскомнадзор не остановится, последствия будут катастрофическими
Модернизацией Пикалево занялась ФСБ
«Невский проспект» открыли для пассажиров
Невский готовится к Параду Победы: пробки в 9 баллов
«Невский проспект» закрыли для пассажиров
Дороги в Финляндии находятся в худшем состоянии за много лет
В Сестрорецке открыта ледовая арена имени Всеволода Боброва
СМИ: Дерипаска собирается сохранить контроль над «Русалом»
Путин в Петербурге призвал строить кампусы
Собчак поедет в Крым через Украину - выступать перед бизнесменами
Родченков и Макларен отказались от своих обвинений российских спортсменов в употреблении допинга
Рейс из Петербурга в Москву задержался почти на пять часов
Глава «Вертолетов России» просит чиновников «разумно» подойти к антисанкциям
Более шести тысяч человек уже включены в черный список ЦБ
Выход с «Площади Ленина» на Финляндский вокзал открыт
Кремль ответил на критику МЧС со стороны Михалкова: Говорить, что все развалено, было бы неправильно
Брэд Питт расследует домогательства Харви Вайнштейна в новом фильме
Полиция Петербурга просит у антимонопольщиков защиты от назойливых звонков
Смольный пытается помешать встрече «Моста глупости» с юбилейной жертвой
На границе с Финляндией хотят создать особую экономическую зону
"Площадь Ленина - 1" закрыли на проверку
Кемеровские чиновники приукрасили в фотошопе детскую площадку
В Турции 14 журналистов получили тюремные сроки по обвинению в содействии терроризму
Пентагон: Россия, Китай и экстремистские организации поставили морскую пехоту США в уязвимое положение
Пограничники России знают, что соотечественники прогуляют рабочую субботу
Смольный: Во время мундиаля в Петербург приедет 400 тысяч болельщиков
В МЧС нашли «особую опасность» в криптокошельках россиян
«Виктор Черномырдин» прошел инаугурацию в Сургуте
Крымский мост видно с борта МКС
На Петроградскую сторону вернулся свет
СМИ: Пресс-секретарю Роскомнадзора изменили статью с мошенничества на растрату
Пучков: Каждый третий ТК в России работает как «Зимняя вишня»
В Петербурге не работают электронные дневники
Дворкович прокомментировал блокировку Telegram: У меня работает
Первый вице-премьер Шувалов: Рад любой работе, которую даст президент
Часть Петроградской стороны осталась без электричества
Полуразрушенный ресторан в Удельном парке могут превратить в гостиницу
Для развозки зрителей матча «Зенит» - ЦСКА выделят больше автобусов
Петербургская УК банкротит одну из компаний, совладельцем которой является арестованный Магомедов
«Мы не смогли разбить чиновничью рать»: в Сети вышел трейлер фильма о Собчаке
Шведский бомж поселился на пароме между Швецией и Финляндией
Эксперты: За январь - март продажи новостроек в Петербурге выросли на треть
В Норвегии построили смотровую площадку с общественным туалетом за 2 миллиона долларов
Цены на квартиры в доме из расследования Навального упали на треть
Реабилитированная Баснер получит компенсацию в 2,2 млн
Пентагон: ВВС США в Сирии «слепнут и глохнут» из-за радиоэлектронных атак
17-летняя российская биатлонистка обвинила тренера в домогательствах
«М.Видео» закрыла сделку по покупке «Эльдорадо» за 45,5 млрд
Замминистра связи Волин: Мы не пойдем по китайскому пути развития Интернета
В Краснодарском крае в жилом доме произошел взрыв газа
Кончита Вурст отказалась от женского альтер-эго
СМИ: В Москву на переговоры прибыли армянские министры
Саргсян уходит с поста главы правящей партии в Армении
Кудрин рассказал о встрече с Медведевым и блокировке Telegram
ЦБ утвердил план санации Азиатско-Тихоокеанского банка
На Крымском мосту закончили укладывать асфальт
Продажи финских энергетиков Fortum в России снизились из-за ослабления рубля
В Парголово мужчину насмерть зашибло веткой
Пожарных к «Зимней вишне» вызывали из дома напротив
США показали испытания межконтинентальной ракеты Minuteman III
Спешившую в Петербург «Ласточку» остановил огнетушитель
«Технологический институт» вернули пассажирам
Технологии

Не биткойна ради

«Фонтанка» обращается в правоохранительные органы в связи со взломом 24 октября, ударившим как по редакции, так и по читателям нашей газеты. Опрошенные нами эксперты согласны, что действие вируса не очень похоже на попытку заработать. Скорее на саботаж. Причем для «Фонтанки» был выбран особенный сценарий.
Не биткойна ради
©PressFoto/peus

Эксперты в деле кибербезопасности сходятся во мнении, что «Фонтанка» стала мишенью для организаторов вирусной атаки BadRabbit из-за популярности ресурса. 

«Атака была организована следующим образом: злоумышленники заблаговременно зарегистрировали домен, на котором разместили вредоносное ПО. Далее в течение некоторого времени они взломали несколько популярных ресурсов, в частности «Фонтанку», – объяснил начальник отдела  анализа защищенности компании «Информзащита» Павел Сорокин. – Получив контроль над веб-сайтом, злоумышленники поставили на некоторых страницах сайта переадресацию на свой домен, по переходу на который происходила загрузка вымогательского ПО».

Правда, министр связи и массовых коммуникаций РФ Николай Никифоров назвал атаку шифровальщика именно на российские интернет-СМИ «шальной пулей». Однако ежедневная посещаемость «Фонтанки» составляет около 250 тысяч читателей. Главный редактор «Фонтанки» Александр Горшков считает,  что атака на интернет-газету заказана персонами, мечтающими, чтобы Петербург ничего не знал

Как уточнили в «Информзащите», со стороны пользователя все это выглядело таким образом: он заходил на сайт «Фонтанки», переходил по ссылке на новость (происходила переадресация), и ему предлагалось обновить Adobe Flash Player. Пользователь соглашался, файл скачивался и запускался. Далее вирус начинал распространяться внутри сети, шифровал все скомпрометированные компьютеры и требовал выкуп за расшифровку. За расшифровку файлов злоумышленники требовали по нынешним курсам немало: 0,05 биткойна (283 доллара, или 15 700 рублей).

А вот как выглядело «нападение» хакеров со стороны технической службы «Фонтанки». «Злоумышленники, воспользовавшись уязвимостью в программном обеспечении, разместили ссылку на вредоносное ПО на нашем сайте под видом рекламного модуля, – пояснил руководитель службы информационных технологий «Фонтанки.ру» Дмитрий Олейник. – В течение некоторого времени посетители сайта получали предложение обновить Adobe Flash Player, и приняв это предложение, запускали на своем компьютере вирус, шифрующий их данные. Это обычный способ распространения подобных программ, и авторы вирусов-шифровальщиков стараются не афишировать источник распространения вредоносов – они материально заинтересованы в максимально долгом «сроке жизни» взломанных сайтов. В нашем случае, однако, через полчаса-час распространения вредоноса злоумышленники заменили главную страницу сайта, замаскировав ее под стандартное предупреждение безопасности браузера – «данный сайт распространяет вредоносное программное обеспечение и будет заблокирован». Таким образом, мы имеем основания предполагать, что основной целью злоумышленников был не заработок биткойнов за разблокировку зашифрованных данных, а нанесение ущерба деловой репутации «Фонтанки» и снижение доверия посетителей к сайту».

Дело в том, что ни на одном из взломанных сайтов, кроме «Фонтанки», злоумышленники не размещали подобных предупреждений о небезопасности.

«Анализ файлов на домене в сети TOR показал, что сайт был подготовлен еще 19 октября, а сама вредоносная программа содержала дату подписи сертификатом от 25 октября, хотя атака началась 24 октября. Некоторые из модулей содержат дату компиляции за 22 октября. Все это говорит о том, что атака была тщательно спланирована и, скорее всего, предполагалась 25 октября», – рассказали в Group-IB. В «Лаборатории Касперского» меж тем считают, что группировка готовила атаку BadRabbit как минимум с июля 2017-го. «В июле 2017 года исследователи «Лаборатории Касперского» обнаружили связь между APT BlackEnergy и авторами зловреда ExPetr, – пояснил руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. – Много общего было найдено в коде старой версии KillDisk от BlackEnergy и коде ExPetr. Эти параллели были впервые обнаружены в списке расширений файлов, в которые целились BlackEnergy и ExPetr».

«В самой атаке нет ничего нового, так киберпреступники уже делали раньше, – утверждает директор по продуктовому и технологическому позиционированию Acronis Александр Иванюк. – Очевидно, что работали не новички, потому что смогли скомпилировать функциональность нескольких шифровальщиков в один семпл. Так что, скорее всего, за BadRabbit стоит несколько человек». По словам эксперта Acronis, стоила такая атака минимум несколько тысяч долларов.

Кто стоит

Увы, эксперты в кибербезопасности не отвечают на этот вопрос «поименно». В Group-IB утверждают, что за атакой вируса-шифровальщика BadRabbit и эпидемией вируса NotPetya стоит одна и та же группа хакеров. «Мы обнаружили, что код BadRabbit был скомпилирован из исходников NotPetya, есть уникальные функции вычисления хеша, способ распространения по сети и удаление журналов, – рассказал эксперт по киберразведке Group-IB Рустам Миркасымов. – Логика извлечения модулей и сами модули также подтверждают эту связь». 

«За атакой BadRabbit может стоять как небольшая преступная группа из двух-трех человек, так и более серьезная, возможно, включающая в свой состав создателей NonPetya группировка BlackEnergy, – уточняет Александр Иванюк. – Но очевидно, что это или не профессионалы экстра-класса, так как использованный сертификат фальшивый, много ставок сделано на ошибки со стороны пользователя и сложно было ожидать огромной эпидемии при такой схеме работы шифровальщика. Или же это было тестовое нападение, для того, чтобы проверить готовность пользователей противостоять вымогателям и текущую работоспособность схемы распространения шифровальщиков».

«Располагая только инструментами антивирусной компании, достоверно установить, кто стоит за атакой, невозможно, – были еще более осторожны представители компании ESET. – Назвать причастных можно только при наличии исчерпывающих доказательств».

«Определить настоящий источник проведения компьютерной атаки техническими методами практически невозможно на данный момент времени. Существует обширный набор различных техник сокрытия настоящих адресов, в том числе использование прокси-узлов, TOR-сети, взломанных серверов, грамотное применение которых надежно скрывает следы», – не оставил шансов найти «точку сборки» Павел Сорокин.

«Сейчас необходимо определить цели этой атаки, предположительно это могут быть как финансовая выгода, так и уничтожение данных и саботаж», – ничего не исключает Вячеслав Закоржевский.

Кого задело

Атака началась с распространения вредоносного ПО через российские и украинские СМИ и сторонние порталы, однако стоит отметить, что были зафиксированы заражения в Турции, США, Германии, Болгарии, Японии. 

«На Россию пришлось больше половины – 65% всех атак», – уточняет Александр Иванюк (отметим, что в случае с предыдущими инкарнациями вируса звучала версия о его русском следе. – Прим. ред.). «Украина – 12,2%, Болгария – 10,2%, Турция – 6,4%, Япония – 3,8%, другие страны – 2,4%», – продолжает статистику руководитель поддержки продаж ESET Russia Виталий Земских. «Распространение BadRabbit было массовым, хотя жертв оказалось гораздо меньше, чем в случае с NotPetya. На Украине в результате атаки BadRabbit пострадали несколько стратегических объектов (аэропорт, метро, госучреждения), в России — редакции федеральных СМИ. Также были зафиксированы факты попыток заражений банковских инфраструктур, правда, неудачные», – завершили картинку в Group-IB. 

Куда бежать

Совет специалистов по кибербезопасности почти всегда одинаков, когда пользователи сталкиваются с вирусом: иметь на компьютере антивирусную защиту и защищённый бекап (резервное копирование данных. – Прим. ред.)

Кроме того, необходимо регулярно обновлять операционную систему и сторонний софт. «Но важно помнить о том, что сторонний софт не обновляется с новостных сайтов, – уточняет Александр Иванюк. – Он или обновляется автоматически сам (данная функция есть сейчас почти во всем популярном софте), или же его нужно обновлять с сайта производителя этого софта». «Для компаний необходимо внедрять системы защиты web и почтового трафика, использовать механизмы песочницы (sandbox) для обнаружения вредоносного ПО», – добавляет  менеджер по развитию бизнеса в области информационной безопасности Orange Business Services в России и СНГ Андрей Прошин. Если заражение произошло, Вячеслав Закоржевский предостерегает: «Никогда не платите злоумышленникам выкуп. В случае с Bad Rabbit происходит шифрование как пользовательских файлов, так и диска. Для шифрования диска используется легитимная утилита шифрования – DiskCryptor. Если у вас есть возможность, сохраните образ диска. На данный момент специалисты работают над установлением возможности расшифровки».

И в качестве постскриптума: «Лаборатория Касперского» в ходе анализа образцов угрозы BadRabbit отметила интересную деталь: по всей видимости, авторы вредоносной программы являются поклонниками «Игры престолов». Некоторые строки в коде представляют собой имена персонажей из этой вселенной.

Николай Нелюбин, специально для «Фонтанки.ру»


Подписывайтесь на каналы "Фонтанка.ру" в Telegram или Viber, добавляйте нас в Яндекс.Дзен или приходите в группу ВКонтакте, если хотите быть в курсе главных событий в Петербурге - и не только.

добавить комментарий
Помните, что все дискуссии на сайте модерируются в соответствии с правилами блога и пользовательским соглашением. Если вы видите комментарий, нарушающий правила сайта, сообщайте о нем модераторам.
СМИ2
MarketGid News
24СМИ. Агрегатор
Lentainform
Пресс-служба АО «Концерн ВКО «Алмаз – Антей»
«Алмаз-Антей» привезет на авиасалон в Анталье с «Бук» и «Триумф»
АО «Концерн ВКО «Алмаз – Антей» представит зенитно-ракетные комплексы собственной разработки и системы противовоздушной обороны на первом Международном авиасалоне в турецкой Анталье. Он пройдет с 25 по 29 апреля
Пресс-служба АО «Концерн ВКО «Алмаз – Антей»
«Алмаз-Антей» покажет разработки систем связи и радиолокации
«Концерн ВКО Алмаз-Антей» представит собственные проекты и оборудование на 30-й международной выставке информационных и коммуникационных технологий «СВЯЗЬ-2018». Выставка пройдёт с 24 по 27 апреля 2018 года в московском «Экспоцентре»
Магазин "Кей"
Выбираем клавиатуру с подсветкой вместе с сотрудниками КЕЙ
Клавиатура с подсветкой – отличное решение не только для геймеров, но и обычных пользователей. Кроме того, такой аксессуар может стать удачным дополнением к Вашему интерьеру. Разберемся, какой должна быть качественная клавиатура с подсветкой вместе со специалистами компании КЕЙ
АО "Концерн ВКО "Алмаз - Антей"
«Алмаз-Антей» готов расширить производство оборудования для нефтегаза
АО «Концерн ВКО «Алмаз-Антей» впервые примет участие в Международной выставке оборудования и технологий для нефтегазового комплекса «НЕФТЕГАЗ-2018». Концерн представит потенциальным партнерам свои возможности для разработок и готовое оборудование.
Магазин "Кей"
Популярные вопросы о квадрокоптерах. Отвечает КЕЙ
Перед покупкой дорогой техники всегда возникает масса вопросов. А что если я разобью квадрокоптер в первый день? Как научиться им управлять? Смогу ли я делать на нем качественные фотографии? Разобраться с основными вопросами при покупке квадрокоптера помогают специалисты КЕЙ
АО "Концерн ВКО "Алмаз - Антей"
«Алмаз-Антей» покажет ракетные комплексы «Бук» и «Штиль» в Индии
Концерн ВКО «Алмаз – Антей» примет участие в 10-й Международной выставке сухопутных и военно-морских вооружений «Дефэкспо Индия – 2018». Холдинг представит ракетные комплексы и системы противовоздушной обороны собственного производства.