Нашим экспертам удалось проанализировать шифратор Bad Rabbit (напоминаем, с начала атаки решения ESET детектируют его как Win32/Diskcoder.D).
1. Подтвердилась информация, что Bad Rabbit — новая версия нашумевшего вайпера Petya. Угроза шифрует файлы с помощью DiskCryptor — легальной утилиты для шифрования логических дисков, USB-накопителей и загрузочных системных разделов.
2. Для распространения Bad Rabbit злоумышленники скомпрометировали ряд популярных сайтов, внедрив в них вредоносный JavaScript.
Среди скомпрометированных площадок — сайты «Фонтанки», «Новой газеты в Санкт-Петербурге» и «Аргументов недели».
3. Интересен сценарий атаки. При входе пользователя на зараженный сайт вредоносный код передает информацию о нем на удаленный сервер. Далее логика на стороне сервера определяет, представляет ли этот пользователь интерес.
В данный момент связи с сервером нет.
4. Если пользователь «интересен» шифратору, на странице зараженного сайта появляется всплывающее окно с предложением загрузить обновление для Flash Player.
Нажав кнопку «Установить», пользователь загружает исполняемый файл, который и запускает шифратор. Далее файлы жертвы шифруются, а на экране появляется требование выкупа в размере 0,05 BTC (около 16 000 рублей).
5. Заразив рабочую станцию в организации, шифратор распространяется по корпоративной сети через протокол SMB. В отличие от Petya, Bad Rabbit не использует эксплойт EthernalBlue — вместо этого он сканирует сеть на предмет открытых сетевых ресурсов.
На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей.
Расследование продолжается, следите за нашими новостями.