Search the Community
Showing results for tags 'notpetya'.
-
Исследователи безопасности из компании Group-IB опубликовали технический отчет о недавних атаках шифровальщика Bad Rabbit. В ходе анализа исследователям удалось выявить, что за атаками Bad Rabbit и эпидемией вымогательского ПО NotPetya, атаковавшего в июне 2017 года украинские энергетические, телекоммуникационные и финансовые компании, может стоять одна и та же группа хакеров. По заявлениям исследователей, код Bad Rabbit был скомпилирован из исходников NotPetya. В коде была обнаружена уникальная функция вычисления хэша, способ распространения по сети и удаление журналов. Логика извлечения модулей и сами модули также подтверждают эту связь. Как отмечается в отчете, некоторые модули были скомпилированы летом 2014 года, что говорит об использовании старых инструментов для работы с дисками из предыдущих атак данной группировки. Именно в 2014 году хакерская группировка Black Energy резко начала проявлять активность. Как отметили исследователи, Bad Rabbit распространялся посредством метода drive-by download (а не watering hole, как считалось ранее), для доставки вредоносного ПО использовалось несколько популярных информационных сайтов в России и Украине. Помимо этого, исследователи выявили, что доступ к сайтам был получен в результате целенаправленной атаки. В ходе атаки группировка попыталась замаскироваться под обычных вымогателей. По словам экспертов, цель атак NotPetya, скорее всего, заключалась в саботаже, поскольку вредонос содержал всего один кошелек для перевода выкупа. В случае Bad Rabbit для каждого компьютера автоматически генерируется уникальный ключ, а для каждого ключа свой кошелек. Также в атаке Bad Rabbit было использовано доменное имя, ранее замеченное в атаках злоумышленников с целью фишинга и сбора трафика. Анализ файлов на домене в сети Tor показал, что сайт был подготовлен еще 19 октября. Исследователи также отметили, что атака была тщательно спланирована и, скорее всего, ее проведение было намечено на 25 октября текущего года. Об этом свидетельствует дата электронной подписи вредоносного ПО - 25.10.2017, хотя сама атака началась 24 октября. С более подробным техническим анализом атаки можно ознакомиться в блоге исследователей. Ранее стало известно, что хакеры свернули операцию по распространению шифровальщика Bad Rabbit.
-
За последние полтора месяца пользователи Windows дважды столкнулись с мощными атаками программ-вымогателей, в результате которых были заблокированы сотни тысяч компьютеров по всему миру. Как известно, и WannaCry, и NotPetya эксплуатировали уязвимость в протоколе SMB, который используется в Windows. После майской атаки WannaCry компания Microsoft исправила уязвимость во всех версиях своей ОС (в том числе в более неподдерживаемых), однако массовое заражение NotPetya показало, что на многих системах спасительное обновление так и не было установлено. В связи с этим Microsoft решила разработать способ, обеспечивающий безопасность пользователей, даже если новые патчи не были установлены. Компания намерена реализовать в будущих версиях Windows функцию Controlled folder access («Контролированный доступ к папкам»). В настоящее время компания проводит ее тестирование. Предназначением данной функции является контроль над доступом к критически важным папкам. При каждой попытке определенного приложения сделать неавторизованное уведомление пользователь будет получать соответствующее предупреждение. Инструмент Controlled folder access интегрирован с Windows Defender Security Center в предварительной сборке Windows 10 Fall Creators Update и будет доступен широкому кругу пользователей с выходом новой версии ОС в сентябре текущего года. С его помощью пользователи смогут следить за каждой папкой, а также за сетевыми ресурсами и подключенными дисками. То есть, в случае попадания на компьютер вымогательского ПО, оно не сможет зашифровать хранящиеся на нем файлы. В Controlled folder access предусмотрен ряд настроек. Пользователи смогут выбирать папки, которые нужно обезопасить, а также делать исключения, разрешая некоторым приложениям вносить изменения в определенные папки. Тем не менее, папки «Документы», «Изображения», «Видео» и «Рабочий стол» будут защищены по умолчанию, и пользователь не сможет внести их в список исключений.