Jau yra žinoma kad Ukrainoje ir Rusijoje plinta vasarą siautusio išpirkos reikalaujančio kenkėjo „Not Petya“ nauja versija „Bad Rabbit“. Vakar kibernetinę ataką Ukrainoje patyrė kelios keleivių pervežimo įmonės ir vyriausybinės organizacijos, Kijevo metro, Odesos oro uostas ir įvairios organizacijos Rusijoje.
ESET saugumo ekspertai nustatė, kad Kijevo metro informacinę sistemą pažeidė kenkėjas „Diskcoder.D“, naujas išpirkos reikalaujančio viruso „Petya“ variantas. Daugiausiai šio kenkėjo atakų nustatyta Rusijoje (65 proc. atvejų) ir Ukrainoje (12,2 proc.), tarp kitų atakuojamų šalių yra Bulgarija (10,2 proc.) ir Turkija (6,4 proc.).
Įdomu tai, kad visos didžiosios organizacijos patyrė ataką tuo pačiu metu. Saugumo ekspertai daro prielaidą, kad už ataką atsakingų programišių grupė jau buvo įsilaužusi į pažeistas sistemas prieš paleidžiant vadinamąją „watering hole“ ataką.
Preliminariais duomenimis „Diskcoder.D“ naudoja „Mimikatz“ įrankius, kad išgautų prisijungimo duomenis prie atakuojamų sistemų. Kenkėjas bando prisijungti su turimu vartotojų vardų ir slaptažodžių sąrašu: Administrator – Administrator, Admin – administrator, Guest – Guest, User – guest, Test – Admin ir t. t.
Taip pat „Bad Rabbit“ platinamas per pažeistas populiarias svetaines – jose įterptas kenksmingas „JavaScript“.
Sąrašas užkrėstų svetainių, kuriose plinta „Bad Rabbit“ (dėl vartotojų saugumo nuorodos yra redaguotos):
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru
Visi ESET klientai yra apsaugoti nuo „Bad Rabbit“ atakos. Šiuo metu ESET toliau tiria kibernetinę ataką ir joje panaudotą „Diskcoder.D“.