Эксперты компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений, пришли к выводу, что организаторами атаки Bad Rabbit является группа хакеров, которая ранее запустила вирус NotPetya. Специалисты допускают, что за атакой Bad Rabbit стоит хакерская группировка BlackEnergy.
«Установлено, что Bad Rabbit является модифицированной версией NotPetya с исправленными ошибками в алгоритме шифрования. Код Bad Rabbit включает в себя части, полностью повторяющие NotPetya. Некоторые модули были скомпилированы летом 2014 года, что говорит о том, что использовались старые инструменты из предыдущих атак этой хакерской группы»,— говорится в материалах на сайте Group-IB.
Также программистам удалось выяснить, что для распространения вируса использовались несколько популярных информационных интернет-ресурсов на Украине и в России. «На скомпрометированные ресурсы в HTML-код атакующими был загружен JavaScript-инжект, который демонстрировал посетителям поддельное окно, предлагающее установить обновление Adobe Flash плеера. Если он соглашался на обновление, после клика происходило скачивание и запуск вредоносного файла и заражение хоста»,— уверены эксперты.
Отмечается, что в случае с Bad Rabbit хакеры попытались замаскироваться под обычную криминальную группу. При атаке использовалось доменное имя, как и для фишинга и сбора трафика.
Распространение Bad Rabbit, требующего за разблокировку каждого компьютера выкуп в эквиваленте 16 тыс. руб., стало уже третьим подобным инцидентом в 2017 году. Основная часть зараженных компьютеров находится в России, но атаки отмечались и на Украине, в Германии и Турции. Из-за атаки вируса-шифровальщика сайт «Интерфакса» не работал большую часть среды, но стал доступен к вечеру, хотя и продолжает не обновляться.
Подробнее о выводах экспертов – в материале «Ъ» «Атака носила случайный характер».