Встановлено джерело кібератаки на Київський метрополітен

24 жовтня деякі українські компанії зазнали чергової атаки вірусу-шифрувальника. На цей раз зловмисники використовували вірус Bad Rabbit – модифікацію вірусу Petya.А, що заразив комп’ютери влітку цього року.

Компанія Group-IB, повідомила, що вірус-шифрувальник Bad Rabbit пов’язаний з п’ятьма ресурсами, на власників яких зареєстровано безліч інших сайтів, зокрема фарма-партнерок (сайти, які продають підроблені медикаменти через спам).

Після заходу на заражений ресурс користувачеві пропонувалося оновити flash-плеєр. У разі натискання кнопки дані на його комп’ютері зашифровувлися. Вірус також крав паролі з його пристрою і з їх допомогою зашифровував інші комп’ютери, що перебували з ним в одній мережі, - розповіли у Group-IB, передає РБК.

Раніше експерти лабораторії ESET повідомили про «сотні атак» з використанням Bad Rabbit (типу вірусу – Win32/Filecoder.Locky.D). Більшість спрацьовувань антивірусних продуктів ESET припали на Росію й Україну, а також на Туреччину і Болгарію. Як стало відомо пізніше, на Росію припадало 65% атак, на Україну – 12,2%, Болгарію – 10,2%, Туреччину – 6,4%, Японію – 3,8%, на інші країни – 2,4%.

Фахівці ESET встановили, що шкідливе ПО використовує інструмент Mimikatz для вилучення облікових даних із заражених систем. Крім того, експерти встановили, що саме Diskcoder.D був задіяний під час хакерської атаки на Київський метрополітен.

Департамент кіберполіції МВС України зазначив, що вчорашня атака не була цілеспрямованою. Від її наслідків постраждали не лише українські суб’єкти господарювання. Згідно з попереднім аналізом, зазначена атака також була здійснена з використанням бот-мережі Necurs.

Нагадаємо, 24 жовтня Київський метрополітен і аеропорт «Одеса» повідомили про хакерську атаку на свої інформаційні системи. Однак СБУ вдалося зупинити розповсюдження вірусу.