Банк России зафиксировал компьютерную атаку на ряд банков с использованием BadRabbit — вредоносного программного обеспечения типа «шифровальщик». При этом ресурсы кредитных организаций в результате атаки не пострадали.
«По итогам рассылки вредоносного программного обеспечения Bad Rabbit факты компрометации ресурсов финансовых организаций не зафиксированы. <...> Вместе с тем Банк России проанализирует причины ситуации, в результате которой был недоступен публичный сервис агентства Интерфакс по раскрытию информации эмитентами, и намерен проработать механизмы для снижения вероятности возникновения подобных инцидентов в будущем», — говорится в заявлении Центробанка.
Банк также предупредил о возможных попытках распространения хакерами вредоносного программного обеспечения, в том числе предназначенного для скрытного шифрования файлов.
Банки из топ-20
Вирус BadRabbit попытался атаковать российские банки из первой двадцатки, утверждают специалисты. По словам Ильи Сачкова, гендиректора компании Group-IB, которая занимается расследованием киберпреступлений, эксперты зафиксировали попытки заражения вирусом инфраструктур ряда российских банков, которые используют систему обнаружения вторжений, разработанную компанией.
«Эти файлы приходили туда во вторник с 13:00 до 15:00 мск. То есть на банки этот вирус тоже пытались распространить», — цитирует РИА Новости Сачкова.
Специалисты подчёркивают, что среди них были банки из топ-20, однако какие именно, не уточняется.
Он отметил, что эта ситуация показала, что банки используют более качественную защиту от кибератак по сравнению с компаниями небанковского сектора.
Как сообщается на странице Group-IB в Twitter, попытки кибератак со стороны вируса BadRabbit зафиксировала их система TDS Polygon.
Связь с NotPetya
Эксперты говорят о связи между BadRabbit и вирусом-шифровальщиком NotPetya, в июне 2017 года атаковавшим объекты на Украине.
«Совпадения в коде указывают на связь атаки с использованием BadRabbit с июньской эпидемией шифровальщика NotPetya, поразившего энергетические, телекоммуникационные и финансовые компании», — говорят эксперты Group-IB.
По информации компании, в атаке NotPetya содержались схожие алгоритмы.
«Если посетитель нажимал «скачать», происходила загрузка вредоносного программного обеспечения с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209», — рассказали эксперты.
Специалисты отметили, что с доменным именем связано множество других вредоносных доменов, первое проявление активности которых относится к 2011 году.
Около 200 кибератак
Между тем «Лаборатория Касперского» зафиксировала около 200 атак с применением вируса BadRabbit. Об этом говорится в отчёте компании, опубликованном на Securelist.
«Большинство целей находились в России. Меньшее число атак было замечено в других странах — на Украине, в Турции и Германии. В общей сложности было обнаружено почти 200 целей», — отмечается в сообщении.
Распространение вируса, по данным компании, происходило через заражённые СМИ.
Напомним, накануне ряд российских СМИ, в том числе информационное агентство Интерфакс, портал «Фонтанка.ру», сайт Федерального агентства новостей (ФАН) подверглись хакерской атаке. Сайт Интерфакса парализовал вирус-шифровальщик BadRabbit. Хакеры требовали выкуп в биткоинах.
«Атака на российские СМИ не была целенаправленной»
Министр связи и массовых коммуникаций РФ Николай Никифоров считает, что российские СМИ не были целью хакеров. По его словам, атакам подверглись объекты с недостаточным уровнем безопасности.
«В основном все подобные атаки связаны с тем, что не было вовремя проведено обновление программного обеспечения, грубо нарушались правила, определяющие, какие системы подключены, какие элементарные средства технической программной защиты установлены. В основном проблема в этом. А не в том, что та или иная организация была выбрана в качестве мишени и по ней велась целенаправленная работа. Чаще всего это не подтверждается», — сказал Никифоров в кулуарах Евразийского межправительственного совета.
Министр призвал не драматизировать ситуацию.
«Мы всё время в таких атаках пытаемся видеть какую-то хорошо организованную преступную группировку, которая что-то хитро спланировала, делает целенаправленные шаги. Чаще всё намного банальнее — проблема в недостаточном уровне культуры кибербезопасности», — приводит РИА Новости слова Никифорова.
Утром 25 октября первый заместитель генерального директора Интерфакса Алексей Горшков сообщил о частичном восстановлении работы сервисов агентства.
«Нам удалось восстановить работоспособность только частично. Мы наладили выпуск новостей, но, к сожалению, не все системы доставки новостей пока работают. У нас по-прежнему не работает интернет, и мы не можем по нашему сервису отправлять новости клиентам. Это основная задача», — сказал он в разговоре с ТАСС.
BadRabbit на Украине
О взломе своих серверов сообщили и в руководстве метрополитена в Киеве и аэропорта в Одессе.
Позднее в Службе безопасности Украины (СБУ) заявили о блокировании дальнейшего распространения вируса BadRabbit в стране.
По данным украинского ведомства, доставка вируса осуществлялась с использованием фишинговых писем электронной почты с обратным адресом, который ассоциируется со службой технической поддержки компании Microsoft.
«24 октября кибератаке по этой схеме подверглись, в частности, киевский метрополитен и одесский аэропорт, где в результате действия вируса типа «шифровальщик» было заблокировано функционирование службы регистрации пассажиров. Сейчас дальнейшее распространение вируса прекращено, угроз безопасности движения нет», — говорится в сообщении ведомства.