«Кібератака BadRabbit може бути прикриттям для іншої, прихованої атаки, яка залишилася непоміченою», – експерт з кібербезпеки Роман Сологуб

Україна 24 жовтня пережила чергову кібератаку, яка могла стати схожою на атаку вірусом Petya.A, що завдала чимало шкоди багатьом українським державним і недержавним структурам. Як пише «Українська правда», вірус BadRabbit вразив мережі Міністерства інфраструктури і Київського метрополітену, використавши для проникнення в комп’ютерні мережі підроблені сертифікати.

Вірус застосував підроблені сертифікати виробника програмного забезпечення Symantec. Це дозволило йому залишитися непоміченим до активації. Вірус шифрував вміст жорсткого диска. Зараження відбувалося через спеціальний сайт, де користувачеві пропонували оновити Flash-плеєр. Цей сайт був пов’язаний з поширенням спаму.

За оцінкою компанії ESET, атак BadRabbit зазнали комп’ютери в кількох країнах, більшість з них, 65%, – у Росії, 12% – в Україні. Атакували теж комп’ютери в Болгарії (10%), Туреччині (6%) та Японії (4%).

Українська кіберполіція повідомила, що випадки кібератак поодинокі, тому говорити про масову атаку не варто. СБУ заявила, що зупинила поширення вірусу. Нацбанк України стверджує, що не отримував повідомлень від українських банків про ураження їхніх систем в результаті хакерських атак.

Коментар

Роман Сологуб, головний виконавчий директор міжнародної групи компаній з безпеки інформаційних систем ISSP

Так, в Україні 24 жовтня зафіксували кібератаки, які вразили інфраструктурні об’єкти. Зокрема, Одеський аеропорт, деякі банківські сервіси, київське метро. Один з векторів атак дістав назву BadRabbit, а другий експерти ISSP назвали Locky1024. Наразі не можна однозначно стверджувати, чи ці атаки самостійні, чи це відвертання уваги від «основної атаки», що триває. Йдеться про кульмінацію і зачистку атаки Petya.А, яка відбулася 27 липня. Від неї постраждала велика кількість компаній і державних органів.

Експерти ISSP Labs працюють над аналізом зразків Locky1024 і BadRabbit. Наразі можна сказати, що Locky1024 не аналогічний Petya.А, як поспішно повідомляли деякі експерти і компанії з кібербезпеки.

Цей вірус може бути прикриттям для іншої, прихованої атаки, яка залишилася непоміченою за загальною увагою до шифрувальника Locky1024. Така ж ймовірність щодо вектора атаки BadRabbit.

ISSP Labs вчергове звертає увагу фахівців із кібербезпеки, що після Petya.А в багатьох організаціях залишилися так звані «сплячі агенти». Вірогідно, що зловмисники і далі мають доступ до інфраструктур організацій, як постраждалих, так і формально не постраждалих від Petya.А. Підтвердити чи спростувати присутність зловмисників в інфраструктурі можна лише після відповідної професійної експертизи.

Компанія ISSP розробила низку рекомендацій:

– Не відкривайте підозрілі вкладення в листах від невідомих адресатів, не переходьте за сумнівними посиланнями. Наприклад, щодо «оновлення flash-плеєра».

– Заблокуйте доступ до вказаних посилань.

– Встановіть оновлення Windows, які усувають уразливість DDE в Microsoft Office (CVE-2017-11826).

– Не працюйте в комп’ютері на правах адміністратора.

Також ISSP розробила додаткову рекомендацію для великих організацій та підприємств критичної інфраструктури:

– Негайно проведіть експертизу і на підставі отриманих результатів впровадьте технології постійного моніторингу комп’ютерної інфраструктури й активності користувачів, аби швидко виявити та усунути атаки на ранніх етапах.

Ігор Тимоць