Атака вируса-шифровальщика Bad Rabbit, которая парализовала работу ряда сайтов крупнейших российских СМИ 24 октября 2017 года, была также направлена на банковский сектор. Об этом заявил генеральный директор компании Group-IB Илья Сачков сообщил. По его информации, злоумышленникам не удалось дестабилизировать работу российских банков.
Сервера финансово-кредитных учреждений из-за более ответственного подхода к обеспечению информационной безопасности смогли отразить все атаки.
«Group-IB зафиксировала попытки заражения вирусом инфраструктур ряда российских банков, которые используют систему обнаружения вторжений компании. Эти файлы приходили туда во вторник с 13:00 до 15:00 мск. То есть на банки этот вирус тоже пытались распространить», - сказал Илья Сачков.
По данным аналитиков Acronis, Bad Rabbit использует шифрование с помощью легального драйвера ядра dcrypt.sys. Специалисты уточняют, что программа подписана сертификатами, имитирующими Symantec (американская компания по производству программного обеспечения), из-за чего антивирусам трудно обнаружить заражение.
Помимо этого, в отличие от Petya, Bad Rabbit не пользуется уязвимостью файл-сервера Microsoft srv.sys, а шифрование диска происходит без имитации работы chkdsk.exe — приложения, проверяющего жесткий диск на ошибку файловой системы. «На наш взгляд, этот программа-вымогатель Bad Rabbit имеет существенные технологические отличия от шифровальщика Petya, при том, что общие черты есть на концептуальном уровне»,— рассказали в Acronis. Аналитики добавили, что у вирусов есть и сходство: они оба используют как дисковое, так и файловое шифрование.
По оценке «Лаборатории Касперского», основная часть атакованных компьютеров находится в России, но случаи проникновения вируса отмечались также на Украине, в Германии и Турции.
Вчерашнее распространение вируса стало уже третьим подобным инцидентом в 2017 году. На этот раз,