Group-IB выяснила, откуда началось распространение вируса-шифровальщика BadRabbit

Сайт, с которого началось распространение вируса BadRabbit, вычислен специалистами компании Group-IB. Его доменное имя было зарегистрировано 22 марта 2016 г. и продлевается вплоть до этого времени. Об этом информирует РБК. Отмечается, что домен-распространитель уже не отвечает. Эта компания занимается изучением и предотвращением правонарушений. Сейчас их сайт недоступен.

Никитин пояснил, что вирус устанавливали сами юзеры, скачивая фальшивое обновление для Adobe Flash Player. В случае согласия, начиналось скачивание и запуск вредоносного файла. «Сайты, которые были скомпрометированы, тоже известны», — уточнил он. Злоумышленники требуют в качестве выкупа за расшифровку файлов 0,05 биткоина (около 283 долларов). Также, на странице сайта шел отсчет времени до роста стоимости выкупа. По его словам, попавшись в локальную сеть, BadRabbit крадет из памяти логины и пароли и может самостоятельно устанавливаться на иные компьютеры. Это происходило при помощи программы Mimikatz.

Это уже 3-я эпидемия вируса, считают специалисты.

Экспертам пока не удалось узнать, кто стоит за хакеркой атакой.

Новая волна вируса-шифровальщика захватила как правило РФ. Профессионалы подчеркнули, что BadRabbit — это модификация вируса-вымогателя Petya, от которого в начале лета пострадали тысячи компьютеров по всей планете. Атаку NotPetya ученые связывали с группой BlackEnergy. «Не исключено, что они использовались для рассылки спама, фишинга», — уточнили в Group-IB.

Специалисты определили домен, с которого начались атаки BadRabbit

Написать комментарий

Наверх
Яндекс.Метрика