568
Стало відомо, які хакери можуть бути причетні до кібератаки BadRabbit
— Фінтех і Картки
За розробкою та розповсюдженням вірусу BadRabbit стоїть те ж саме угруповання хакерів BlackEnergy, які створили вірус NotPetya. Про це повідомила компанія з запобігання і розслідування кіберзлочинів Group-IB на своєму сайті.
“Скоріше за все, за атакою BadRabbit, яка відбулася 25 жовтня, та епідемією вірусу NotPetya, який в червні 2017 року напав на енергетичний, телекомунікаційний і фінансовий сектори в Україні, стоїть одне й те ж угруповання хакерів BlackEnergy. Дослідження показали, що код BadRabbit був скопійований з джерел NotPetya”, – повідомили на сайті Group-IB.
За інформацією сайту Group-IB, група зловмисників змінила свої інструменти і спробувала приховати себе як звичайну групу Cybercrime.
“Раніше вірус NotPetya використовував тільки один біткойн-гаманець для викупу, який передбачав, що автори не збиралися розшифровувати файли жертв і що їхньою головною метою був саботаж. Однак у Bad Rabbit для кожного зараженого комп’ютера створюється унікальний ключ, а для кожного ключа – власний біткойн-гаманець. Завдяки чому складніше відстежити платежі викупу. Крім того, в атаці BadRabbit використовувалося одне і те ж доменне ім’я, яке раніше використовувалося у звичайній кіберзлочинній діяльності для фішингу та розподілу трафіку”, – зазначили у Group-IB.
“Раніше вірус NotPetya використовував тільки один біткойн-гаманець для викупу, який передбачав, що автори не збиралися розшифровувати файли жертв і що їхньою головною метою був саботаж. Однак у Bad Rabbit для кожного зараженого комп’ютера створюється унікальний ключ, а для кожного ключа – власний біткойн-гаманець. Завдяки чому складніше відстежити платежі викупу. Крім того, в атаці BadRabbit використовувалося одне і те ж доменне ім’я, яке раніше використовувалося у звичайній кіберзлочинній діяльності для фішингу та розподілу трафіку”, – зазначили у Group-IB.
Окрім того, згідно з аналізом, файли на домені в мережі TOR показали, що сайт був підготовлений ще 19 жовтня, а сама шкідлива програма містила дату підпису сертифікатом від 25 жовтня, хоча сама атака почалася 24 жовтня. Деякі з модулів містять дату компіляції за 22 жовтня.
“Все це вказує на те, що сама атака була ретельно спланована і, швидше за все, була запланована на 25 жовтня”, – проінформували у Group-IB.
“Все це вказує на те, що сама атака була ретельно спланована і, швидше за все, була запланована на 25 жовтня”, – проінформували у Group-IB.
Довідка Finance.ua:
- 25 жовтня вірус-шифрувальник BadRabbit атакував об’єкти інфраструктури в Україні.
- Кібератака зачепила Міністерство інфраструктури, Одеський аеропорт, Київський метрополітен.
- У кіберполіції повідомили, що випадки поодинокі, і говорити про масову кібератаку не доводиться. Служба безпеки заявила, що зупинила поширення вірусу.
За матеріалами: УНН
Поділитися новиною
