Инфраструктура Bad Rabbit в настоящее время отключена.
Операция по распространению нового шифровальщика Bad Rabbit, на этой неделе атаковавшего Украину и Россию, прекращена. Об этом сообщает издание Motherboard со ссылкой на ряд ИБ-экспертов, осуществляющих мониторинг активности вредоноса.
Во вторник, 24 октября, ряд российских и украинских организаций стали жертвами вымогательского ПО Bad Rabbit, распространявшегося посредством атаки watering hole через взломанные сайты. Посетителям скомпрометированных ресурсов предлагалось установить поддельное обновление Adobe Flash Player. Когда пользователь кликал на уведомление с предложением установить «обновление», с подконтрольного хакерам сервера на его систему загружалось вымогательское ПО Bad Rabbit.
Одними из таких серверов были 1dnscontrol[.]com и 185.149.120[.]3 (скобки добавлены в целях безопасности). По данным FireEye, ESET, McAfee, Avira и «Лаборатории Касперского», в настоящее время они отключены. Исследователь из FireEye Ник Карр (Nick Carr) сообщил в электронном письме изданию Motherboard, что его компания блокировала вредонос до 15:00 UTC (18:00 по Москве). Затем число попыток атак стало снижаться, и вся инфраструктура вредоноса (C&C-сервер и зараженные сайты) была отключена.
Эксперт Avira Александр Вукчевич (Alexander Vukcevic) также подтвердил, что C&C-серверы Bad Rabbit «больше недоступны». По данным пресс-службы «Лаборатории Касперского», атаки шифровальщика прекратились 24 октября. Сообщение Symantec подтверждает заявление ЛК. По словам представителей компании, большинство заражений пришлось на первые два часа с начала атак.
Хакеры сами отключили свою инфраструктуру, уверены в McAfee. Тем не менее, так ли это, и кто стоит за атаками, в настоящее время неизвестно. Злоумышленников могло спугнуть чрезмерное внимание к Bad Rabbit, или же инфраструктура была отключена их хостинг-провайдером.
По словам Крэйга Уильямса (Craig Williams) из Talos, вредонос может все еще распространяться, но очень медленно. Зараженные Bad Rabbit компьютеры по-прежнему пытаются подключиться к своему C&C-серверу.
Как сообщает Motherboard, созданный злоумышленниками сайт в даркнете, где жертвы должны платить выкуп, некоторое время тоже был отключен. Тем не менее, вскоре ресурс снова заработал.
Большой взрыв знаний каждый день в вашем телефоне