Aa Aa Aa

Новый вирус прогулялся Украиной благодаря фейковому обновлению Flash Player

Владимир Кондрашов
Новый вирус прогулялся Украиной благодаря фейковому обновлению Flash Player

Наряду с рассылкой 24 октября шифровальщика файлов Locky, который распространялся через фишинговые сообщения и использовал технику DDE, наблюдалась более массовая рассылка шифровальщика файлов Bad Rabbit через скомпрометированные веб-сайты благодаря drive-by download атаке.

Данная атака позволяла злоумышленникам распространять вредоносное программное обеспечение через веб-сайты, даже не взламывая их, сообщает Команда реагирования на компьютерные чрезвычайные события Украины CERT-UA Госспецсвязи.

Как сообщается, первоначальное заражение произошло через скомпрометированные  веб-сайты и фейковое обновление Flash Player, которое для активации и последующей эксплуатации требовало взаимодействие с пользователем (пользователь должен подтвердить согласие на установки обновления).

Распространение в локальной сети происходило через сканирование внутренней сети на открытость SMB-файлов открытого доступа, а также попыткой использовать протокол HTTP WebDAV, который базируется на HTTP и позволяет использовать Web как ресурс для чтения и записию

Использовался Mimikatz для извлечения учетных данных пользователя из памяти инфицированного ПК и легитимное программное обеспечение DiskCryptor для шифрования файлов.

Типы расширений файлов, которые были зашифрованы на ПК пользователя:

Индикаторы компрометации:

hxxp: //185.149.120 [.] 3 / scholargoogle /

hxxp: // 1dnscontrol [.] com / flash_install.php

hxxp: // caforssztxqzf2nm [.] onion

Скомпрометированы сайты:

hxxp: // argumentiru [.] com

hxxp: //www.fontanka [.] ru

hxxp: // grupovo [.] bg

hxxp: //www.sinematurk [.] com

hxxp: //www.aica.co [.] jp

hxxp: // spbvoditel [.] ru

hxxp: // argumenti [.] ru

hxxp: //www.mediaport [.] ua

hxxp: //blog.fontanka [.] ru

hxxp: // an-crimea [.] ru

hxxp: //www.t.ks [.] ua

hxxp: // most-dnepr [.] info

hxxp: //osvitaportal.com [.] ua

hxxp: //www.otbrana [.] com

hxxp: //calendar.fontanka [.] ru

hxxp: //www.grupovo [.] bg

hxxp: //www.pensionhotel [.] cz

hxxp: //www.online812 [.] ru

hxxp: //www.imer [.] ro

hxxp: //novayagazeta.spb [.] ru

hxxp: //i24.com [.] ua

hxxp: //bg.pensionhotel [.] com

hxxp: // ankerch-crimea [.] ru

По оценке ESET, за 24 октября атакам Bad Rabbit подверглись компьютеры в нескольких странах. Большинство из них (65%) были в России, еще 12% - в Украине, атакованы были также компьютеры в Болгарии (10%), Турции (6%) и Японии (4%).