Сегодняшнее утро во многих российских банках, крупных компаниях и госучреждениях начиналось с обсуждения вчерашней атаки #BadRabbit. Многие нас спрашивали, что делать, чтобы избежать заражения. Отвечаем:
Kill Switch: необходимо создать файл C:\windows\infpub.dat и поставить ему права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы.
💥Оперативно изолируйте компьютеры, доменные адреса и IP-адреса, указанные в нашем блоге  (https://www.group-ib.ru/blog/badrabbit), если такие будут, а также убедитесь в актуальности и целостности резервных копий ключевых сетевых узлов.
💥Обновите операционные системы и системы безопасности.
💥Заблокируйте ip-адреса и доменные имена, с которых происходило распространение вредоносных файлов
💥В части парольной политики:
Настройками групповой политики запретите хранение паролей в LSA Dump в открытом виде
Смените все пароли на сложные для предотвращения брута по словарю
💥Поставьте пользователям блокировку всплывающих окон.
💥Применяйте современные средства обнаружения вторжений и песочницу для анализа файлов.
TDS Polygon успешно регистрирует факты пересылки подобных вредоносных файлов и создаёт соответствующие тикеты.

Отвлечемся на немного от темы с #BedRabbit — в "Известиях" вышла большая заметка про рынок интернет-пиратов и успешный опыт Group-IB борьбы с ними.  https://iz.ru/662633/vladimir-zykov/pod-vebom-zolotym

Эпидемия вируса Bad Rabbit, поразившего Россию и Украину, отступила, но специалисты по кибербезопасности узнают все новые и новые подробности атаки. Стало известно, что заражение планировалось на протяжении нескольких дней, а возможными жертвами зловреда могли стать крупные российские банки.
https://www.gazeta.ru/tech/2017/10/25/10956944/badrabbit_badbank.shtml

Илья Сачков про угрозы для ICO и о том, как защитить биткоины. https://geektimes.ru/company/smileexpo/blog/294741/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+geektimes%2FRuHackersNews+%28RuHackersNews+%5Bgeektimes%5D%29

История Ильи Сачкова и Group-IB — пример невыдуманной success story: простой парень из Измайлово без связей и богатых родителей вместе с однокурсниками создал детективный стартап, который сейчас выпускает передовые технологии для предотвращения киберпреступлений и проводит расследования самых громких кейсов по всему миру! Эта история про исполнение свой мечты, несгибаемую волю и неприятие зла во всех его проявлениях! Group-IB входит в топ-7 мировых компаний, влияющих на информационную безопасность мира, по версии издания Business Insider. Мировые аналитические агентства Gartner, Forrester, IDC дают высокую оценку решению Group-IB Cyber Threat Intelligence. Forbes включил Илью в список самых перспективных молодых предпринимателей мира «30 under 30». Мы хотим, чтобы историю Ильи узнало, как можно больше молодых предпринимателей. И каждый из вас может нам в этом помочь. В рамках специальной номинации от Business FM «Выбор делового Интернета» стартовало онлайн-голосование среди финалистов конкурса EY «Предприниматель года 2017» в России. С 23 октября по 21 ноября 2017 года любой посетитель портала может поддержать Илью Сачкова, отдав за него голос на странице голосования. Каждый день в период голосования в эфире Business FM будут звучать новые истории успеха - репортажи о финалистах, становлении их бизнеса и планах на будущее. Заходите, голосуйте, следите за финалом конкурса EY «Предприниматель года 2017» !   https://eyaward2017.bfm.ru/

Предприниматель года 2017
Идет голосование за лучшего предпринимателя 2017 года в специальной номинации «Выбор делового Интернета»

Group-IB выпустила технический отчет о #BadRabbit  и это 🔥🔥🔥#NotPetya #BlackEnergy

Наши эксперты выяснили:

💥 За атакой вируса-шифровальщика BadRabbit 24 октября 2017 года и эпидемией вируса NotPetya, атаковавшего в июне 2017 года энергетические, телекоммуникационные и финансовые компании на Украине, стоит одна и та же группа хакеров. Мы обнаружили, что код BadRabbit был скомпилирован из исходников NotPetya, есть уникальные функции вычисления хэша, способ распространения по сети и удаление журналов. Логика извлечения модулей и сами модули также подтверждают эту связь.

💥Распространение BadRabbit было массовым, хотя жертв оказалось гораздо меньше, чем в случае с NotPetya. На Украине в результате атаки BadRabbit пострадали несколько стратегических объектов (аэропорт, метро, госучреждения), в России — редакции федеральных СМИ. Также были зафиксированы факты попыток заражений банковских инфраструктур, правда, неудачные.

💥BadRabbit распространялся методом drive-by download, а не watering hole attack. Для распространения вируса использовались несколько популярных информационных интернет-ресурсов на Украине и в России.

💥Предварительное исследование подтвердило то, что доступ к сайтам был получен в результате целенаправленной атаки — как минимум в одном из случаев компрометации легитимного ресурса был взломан компьютер разработчика сайта, а через него был скомпрометирован сайт. Это похоже на взлом системного администратора украинского разработчика системы документооборота «M.E.Doc», через которого злоумышленники получили доступ к серверу обновления и разместили свой вредоносный файл для заражения пользователей вирусом NotPetya.

💥Со взломанных сайтов вредоносный JS скрипт отправлял часть информации на сервер 185.149.120.3, принадлежавший маркетинговой компании Jetmail. Предположительно, их сервер был скомпрометирован путем эксплуатации уязвимости в Apache Tomcat/Coyote JSP engine 1.1. В свое время северокорейская прогосударственная группа хакеров Lazarus воспользовались уязвимостью в этом веб-сервере для атаки на банки.

💥Группа внесла изменения в свой инструмент и попыталась замаскироваться под обычную криминальную группу. Если раньше NotPetya содержал один кошелек для перевода выкупа, что позволяло предположить, что авторы и не собирались расшифровывать файлы, а их основная задача заключалась в саботаже, то теперь для каждого компьютера автоматически генерируется уникальный ключ, а для каждого ключа свой кошелек. Также в атаке BadRabbit было использовано доменное имя, которое ранее использовалось в атаках обычной киберпреступностью для фишинга и сбора трафика.

💥Анализ файлов на домене в сети TOR показал, что сайт был подготовлен еще 19 октября, а сама вредоносная программа содержала дату подписи сертификатом от 25 октября, хотя сама атака началась 24 октября. Некоторые из модулей содержат дату компиляции за 22 октября. Все это говорит о том, что атака была тщательно спланирована и, скорее всего, была запланирована на 25 октября.

💥Некоторые модули были скомпилированы летом 2014 года, что говорит о том, что использовались старые инструменты из предыдущих атак этой хакерской группы. Именно в 2014 году группа #BlackEnergy резко начала проявлять свою активность и использовать инструменты для работы с дисками.

На английском: https://www.group-ib.com/blog/reportbadrabbit

Полная версия технического отчета #BadRabbit #NotPetya #BlackEnergy https://www.group-ib.ru/blog/reportbadrabbit

Эксперт по киберразведке Group-IB Рустам Миркасымов рассказывает о главных выводах нашего технического отчета.

Механизм заражения #BadRabbit в одной картинке

Веста Матвеева, главный специалист Group-IB по компьютерной криминалистике, выступила 17 октября на саммите ISMG в Лондоне. В интервью старшему вице-президенту ISMG Тому Филду Веста рассказала о последних тенденциях в области киберпреступности, атрибуциях атаки, а также объяснила, почему число атак и мошенничеств в финансовой сфере будет расти.

Группа Cobalt, атакующая финансовые организации по всему миру, решила разыграть беспроигрышную карту с  ransomware — во время недавних целевых атак на банки взломщики разослали письма с рекомендацией установить «патч» для защиты системы от вирусов-шифровальщиков. Вместе “патча” загружалось вредоносное ПО Cobalt Strike Beacon. Подписчики Threat Intelligence Group-IB  своевременно узнали об этой угрозе.

🕵🏻 Картотека GIB: Cobalt

Современных грабителей банков называют “финансово мотивированные хакеры”. С мотивацией у Cobalt  все в порядке — это одна одна из самых активных преступных групп.  Все лето они атаковали банки по всему миру, тестировали новые инструменты и схемы, и в сентябре не снизили обороты — практически каждую неделю мы фиксируем их почтовые рассылки с вредоносными программами внутри. Чтобы не стать жертвой Cobalt, самое время освежить свои знания. 💥💪
Чем известна: группа Cobalt успешно атаковала банки по всему миру — в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Специализируются на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.
Статус: Задержание 5 «мулов», связанных с группой̆ Cobalt, не отразилось на активности группы. Угроза новых атак по-прежнему актуальна.
В рубрике “Картотека  GIB” мы публикуем подборку материалов про Cobalt:
1. Секреты Cobalt. Веста Матвеева, главный специалист по компьютерной криминалистике Group-IB, одна из первых расследовала атаки Cobalt на российские и зарубежные банки, и теперь рассказала о некоторых секретах этой группы.
https://www.group-ib.ru/blog/cobalt
2. По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB. https://habrahabr.ru/company/group-ib/blog/323996/
3. Полный отчет про Cobalt Group-IB: https://www.group-ib.ru/cobalt.html
4. Про целевые атаки на банки можно прочитать в нашем блоге: https://www.group-ib.ru/blog/polygon
Секреты Cobalt
Как группа Cobalt преодолевает средства защиты