Цій статті більше 3-х років. Українське законодавство складне і мінливе, тож на даний момент редакція не гарантує її 100% актуальність. У разі сумнівів скористайтесь пошуком, щоб читати свіжіші статті і консультації, або зверніться за допомогою до нашого ШІ-консультанта.
Про це повідомили на сайті спеціалізованого структурного підрозділу Державного центру кіберзахисту та протидії кіберзагрозам (ДЦКЗ) Держспецзв’язку.
Дана атака дозволяла зловмисникам розповсюджувати шкідливе програмне забезпечення через веб-сайти, навіть не зламуючи їх.
Коротко про вчорашні події:
— початкове зараження відбулося через скомпрометовані веб-сайти та фейкове оновлення Flash Player, яке для активації та подальшої експлуатації потребувало взаємодію з користувачем (користувач мав підтвердити згоду щодо встановлення оновлення);
— розповсюдження у локальній мережі відбувалося через сканування внутрішньої мережі на відкритіcть SMB-файлів відкритого доступу, а також намаганням використати протокол HTTP WebDAV, який базується на HTTP і дозволяє використовувати Web як ресурс для читання і запису;
— використовувався Mimikatz для вилучення облікових даних користувача з пам’яті інфікованого ПК;
— використовувалося легітимне програмне забезпечення DiskCryptor для шифрування файлів;
— типи розширень файлів, які були зашифровані на ПК користувача:
- .3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb
- .gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c
- .pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd
- .vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.
Також про цю хакерську атаку ми розповідали у новині тут>>
Більш детальні відомості щодо атаки були опубліковані антивірусними лабораторіями та іншими відомими вендорами в галузі кібербезпеки:
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back-improved-ransomware/
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
https://securelist.com/bad-rabbit-ransomware/82851/
https://www.theregister.co.uk/2017/10/24/badrabbit_ransomware/
https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb
http://blog.talosintelligence.com/2017/10/bad-rabbit.html?m=1
Індикатори компрометації:
url:
hxxp://185.149.120[.]3/scholargoogle/
hxxp://1dnscontrol[.]com/flash_install.php
hxxp://caforssztxqzf2nm[.]onion
Dropper:
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
https://www.virustotal.com/#/file/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da/detection
Payload:
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
C:\Windows\dispci.exe (diskcryptor client)
682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806
C:\Windows\cscc.dat (x32 diskcryptor drv)
0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
C:\Windows\cscc.dat (x64 diskcryptor drv)
579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648
C:\Windows\infpub.dat
2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
(mimikatz-like x86)
301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
(mimikat-like x64)
Scheduled Tasks names:
в Taskschd.msc пошукати та видалити такі задачі
viserion_
rhaegal
drogon
Скомпрометовані сайти:
hxxp://argumentiru[.]com
hxxp://www.fontanka[.]ru
hxxp://grupovo[.]bg
hxxp://www.sinematurk[.]com
hxxp://www.aica.co[.]jp
hxxp://spbvoditel[.]ru
hxxp://argumenti[.]ru
hxxp://www.mediaport[.]ua
hxxp://blog.fontanka[.]ru
hxxp://an-crimea[.]ru
hxxp://www.t.ks[.]ua
hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
hxxp://www.otbrana[.]com
hxxp://calendar.fontanka[.]ru
hxxp://www.grupovo[.]bg
hxxp://www.pensionhotel[.]cz
hxxp://www.online812[.]ru
hxxp://www.imer[.]ro
hxxp://novayagazeta.spb[.]ru
hxxp://i24.com[.]ua
hxxp://bg.pensionhotel[.]com
hxxp://ankerch-crimea[.]ru