Bad Rabbit

Bad Rabbit
Bad Rabbit
Тип	Вирус-вымогатель, сетевой червь
Год появления	24 октября 2017; (начало массовой атаки)
	Описание Symantec
	Описание Securelist

Bad Rabbit (рус. «Плохой кролик») — вирус-шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года^[1]. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.

По оценке Symantec вирус имеет низкий уровень угрозы^[2]. 25 октября серверы, обеспечивавшие начальное заражение Bad Rabbit, были остановлены^[3].

История

24 октября 2017 года, вирус шифровальщик атаковал ряд российских СМИ, включая ИА «Интерфакс» и интернет-газету «Фонтанка», а также киевское метро и аэропорт Одесса, требуя за разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в течение 48 часов^[4]^[5]^[6]. Также, в меньшей степени, атаке подверглись Турция и Германия^[7]^[8]. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток^[9]^[10]. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов», а именно имена трех драконов — Дрогона, Рейгаля и Визериона^[11]^[12]^[13]^[14].

По мнению ряда западных аналитиков к возникновению и распространению вируса Bad Rabbit имеют отношение российские спецслужбы, и скорее всего — Главный центр специальных технологий Главного управления Генерального штаба Вооружённых сил (в/ч 74455)^[15].

Метод атаки

Для первоначальной установки Вирус не использует каких-либо эксплойтов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для Adobe Flash Player, должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством UAC Windows^[16].

После установки приложение регистрируется в штатном механизме планирования заданий и начинает самостоятельное распространение по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой Mimikatz и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей^[16]. По данным Cisco Talos, компонент распространения вируса дополнительно использует технологии и коды АНБ «EternalRomance», которые ранее были опубликованы группой Shadowbrokers (ошибка в кодах SMB, исправлена Microsoft в марте 2017)^[17]^[18].

Приложение производит шифрование файлов по алгоритмам AES-128-CBC и RSA-2048^[1].

В нарушение лицензии GPLv3 приложение Bad Rabbit пользуется кодами и драйвером из проекта DiskCryptor^[16]^[19]^[20], но при этом не публикует изменённых исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.

Примечания

↑ ^1,0 ^1,1 Орхан Мамедов, Федор Синицын, Антон Иванов. Шифровальщик Bad Rabbit (неопр.). Лаборатория Касперского (25 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.
↑ Benjamin Moench Ransom.BadRabbit. Technical Details Архивная копия от 27 октября 2017 на Wayback Machine / Symantec Security Response
↑ Lorenzo Franceschi-Bicchierai. Infrastructure for the ‘Bad Rabbit’ Ransomware Appears to Have Shut Down (англ.), Vice (Oct 25 2017). Архивировано 26 октября 2017 года. Дата обращения 27 октября 2017.
↑ Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ (неопр.). ТАСС (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ Иван Гусев. Россию атаковал новый вирус-вымогатель "Плохой кролик" (неопр.). Life (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ Полина Духанова. «Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ (неопр.). RT (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ Алексей Шароглазов. Названы жертвы атаки вируса-шифровальщика Bad Rabbit (неопр.). Известия (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 25 октября 2017 года.
↑ Вирус-вымогатель атаковал жертв через сайты СМИ (неопр.). Вести.net (25 октября 2017). Дата обращения: 28 декабря 2017. Архивировано 27 декабря 2017 года.
↑ Кристина Жукова. Восстановлена работа пострадавших от вируса Bad Rabbit СМИ (неопр.). Коммерсантъ (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ 'Bad Rabbit' ransomware strikes Ukraine and Russia (англ.). BBC News (26 октября 2017). Дата обращения: 27 октября 2017. Архивировано 6 января 2021 года.
↑ Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов» (неопр.). Лента.ру (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 9 июня 2021 года.
↑ Роман Босиков. Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов" (неопр.). Life (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов» (неопр.). Пятый канал (26 октября 2017). Дата обращения: 26 октября 2017.
↑ Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов» (неопр.). CHIP (26 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ Smeets, 2022, Table 4.2.
↑ ^16,0 ^16,1 ^16,2 Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya (неопр.). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.
↑ NICK BIASINI. Threat Spotlight: Follow the Bad Rabbit (англ.). Talos Intelligence (OCTOBER 24, 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.
↑ SEAN GALLAGHER. Bad Rabbit used NSA “EternalRomance” exploit to spread, researchers say (англ.), ARS Technica (OCT 26, 2017). Архивировано 26 октября 2017 года. Дата обращения 27 октября 2017.
↑ New wave of data-encrypting malware hits Russia and Ukraine Архивная копия от 26 октября 2017 на Wayback Machine (англ.)
↑ Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… » (неопр.). Дата обращения: 26 октября 2017. Архивировано 1 декабря 2017 года.

Литература

Smeets, Max. No Shortcuts : Why States Struggle to Develop a Military Cyber-Force : [англ.]. — 2022. — 296 p. — ISBN 9781787388710.

[ЛК-1] 1,0 ^1,1 Орхан Мамедов, Федор Синицын, Антон Иванов. Шифровальщик Bad Rabbit (неопр.). Лаборатория Касперского (25 октября 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.

[2] Benjamin Moench Ransom.BadRabbit. Technical Details Архивная копия от 27 октября 2017 на Wayback Machine / Symantec Security Response

[3] Lorenzo Franceschi-Bicchierai. Infrastructure for the ‘Bad Rabbit’ Ransomware Appears to Have Shut Down (англ.), Vice (Oct 25 2017). Архивировано 26 октября 2017 года. Дата обращения 27 октября 2017.

[4] Group-IB: вирус-шифровальщик Bad Rabbit атаковал российские СМИ (неопр.). ТАСС (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[5] Иван Гусев. Россию атаковал новый вирус-вымогатель "Плохой кролик" (неопр.). Life (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[6] Полина Духанова. «Не самые грамотные хакеры»: что стоит за кибератаками на российские СМИ (неопр.). RT (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[7] Алексей Шароглазов. Названы жертвы атаки вируса-шифровальщика Bad Rabbit (неопр.). Известия (24 октября 2017). Дата обращения: 26 октября 2017. Архивировано 25 октября 2017 года.

[8] Вирус-вымогатель атаковал жертв через сайты СМИ (неопр.). Вести.net (25 октября 2017). Дата обращения: 28 декабря 2017. Архивировано 27 декабря 2017 года.

[9] Кристина Жукова. Восстановлена работа пострадавших от вируса Bad Rabbit СМИ (неопр.). Коммерсантъ (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[10] 'Bad Rabbit' ransomware strikes Ukraine and Russia (англ.). BBC News (26 октября 2017). Дата обращения: 27 октября 2017. Архивировано 6 января 2021 года.

[11] Эксперты раскрыли связь между вирусом Bad Rabbit и «Игрой престолов» (неопр.). Лента.ру (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 9 июня 2021 года.

[12] Роман Босиков. Эксперты обнаружили связь между вирусом Bad Rabbit и "Игрой престолов" (неопр.). Life (25 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[13] В вирусе «Bad Rabbit», поразившем российские СМИ, эксперты нашли отсылки к «Игре престолов» (неопр.). Пятый канал (26 октября 2017). Дата обращения: 26 октября 2017.

[14] Вирус-шифровальщик Bad Rabbit создан фанатами «Игры престолов» (неопр.). CHIP (26 октября 2017). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[_78b9bf928c222870-15] Smeets, 2022, Table 4.2.

[Х-16] 16,0 ^16,1 ^16,2 Как работает шифровальщик Bad Rabbit, и есть ли здесь связь с NotPetya (неопр.). Дата обращения: 26 октября 2017. Архивировано 26 октября 2017 года.

[17] NICK BIASINI. Threat Spotlight: Follow the Bad Rabbit (англ.). Talos Intelligence (OCTOBER 24, 2017). Дата обращения: 27 октября 2017. Архивировано 27 октября 2017 года.

[18] SEAN GALLAGHER. Bad Rabbit used NSA “EternalRomance” exploit to spread, researchers say (англ.), ARS Technica (OCT 26, 2017). Архивировано 26 октября 2017 года. Дата обращения 27 октября 2017.

[19] New wave of data-encrypting malware hits Russia and Ukraine Архивная копия от 26 октября 2017 на Wayback Machine (англ.)

[20] Kevin Beaumont в Твиттере: «#BadRabbit uses a legit, signed program called DiskCryptor to lock out the victim hard drive.… » (неопр.). Дата обращения: 26 октября 2017. Архивировано 1 декабря 2017 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

Хакерские атаки 2010-х
Крупнейшие атаки	Взлом сетей банка «Морган Чейз» Кибератаки в Австралии (2010) Операция «Payback» DigiNotar Операция «Тунис» Взлом и отключение PlayStation Network Операция «AntiSec» Icefog Операция «Red October» Взлом электронной почты компании Stratfor Взлом LinkedIn (2012) Кибератака на Южную Корею (2013) Snapchat Операция Tovar Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец WannaCry Кибератака на сети Управления кадровой службы США (2014—2015) Кибератака на украинскую энергосистему (2015) Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp GNAA Fancy Bear Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN Tailored Access Operations UGNazi
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer Guccifer 2.0 Sabu Topiary The Jester weev
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe} (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Вредоносный код	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT «Дроворуб»
2000-е • 2010-е • 2020-е