Group-IB определила сайт, начавший распространение вируса-шифровальщика Bad Rabbit

(Казань, 25 октября, «Татар-информ»). Эксперты занимающейся информационной безопасностью компании Group-IB определили сайт, с которого начала распространяться атаковавший вчера российские СМИ и украинские инфраструктурные компании вирус-шифровальщик Bad Rabbit («Плохой Кролик»). Об этом сообщает РБК.

О механизме заражения изданию рассказал заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. При заходе на инфицированный ресурс зловред предлагал пользователю обновить Adobe Flash Player. В случае его согласия файлы на компьютере юзера шифровались. «Вирус также крал пароли с его устройства и с их помощью зашифровывал другие компьютеры, находящиеся с ним в одной сети», – добавил эксперт.

Специалисты по кибербезопасности выяснили, что IP раздававшего вирусы домена связан с пятью ресурсами, на владельцев которых зарегистрированы многие другие сайты. При этом среди них есть и так называемые «фарм-партнерки», продающие фальшивые медикаменты с помощью спама. Они также потенциально могли использоваться для рассылки спама и фишинга.

По информации лаборатории ESET, «Плохой Кролик» использовался в «сотне атак». Большинство из них пришлись на Россию и Украину, но кибернападения были также зафиксированы в Болгарии и Турции.

«Коммерсантъ» в свою очередь отмечает, что хакеры оказались поклонниками сериала «Игра престолов». Как выяснил эксперт в области компьютерной безопасности Кевин Бьюмон, в коде вредоносной программы упоминаются фигурирующие в фэнтезийной саге драконы Дрогон, Рейгаль и Визерион.