Плохой кролик: что известно о кибератаке на российские СМИ

Кого атаковали

Днем во вторник стало известно, что «Интерфакс» подвергся мощной хакерской атаке. Об этом сообщил заместитель гендиректора агентства Юрий Погорелый в своем аккаунте в Facebook. «„Интерфакс“ столкнулся с беспрецедентной вирусной атакой. Часть наших сервисов недоступна для клиентов. Наши инженеры восстанавливают их работоспособность», — написал он.

Позже об атаке сообщило петербургское издание «Фонтанка». «Хакерская атака на наш сервер. У нас серьезные технические проблемы, возможно сайт будет недоступен несколько часов. Будем держать вас в курсе ситуации», — говорится в Telegram-канале сайта.

Вечером перестали открываться сайты 47news.ru и «Новой газеты» в Санкт-Петербурге, а также сайт Федерального агентства новостей. О причастности к этому вируса Bad Rabbit неизвестно. Позже доступ к 47news.ru был восстановлен.

Также пострадали государственные учреждения Украины. Атаке подверглись киевское метро, одесский аэропорт и Министерство инфраструктуры.

Что за вирус

Пока нет информации, что все перечисленные издания и компании пострадали от одного вируса. Специализирующаяся на киберпреступлениях компании Group-IB заявила, что вирус-шифровальщик Bad Rabbit атаковал три редакции, но не назвала их. По их информации, атаку готовили несколько дней.

РБК сообщил, что сотрудники «Интерфакса» выкладывают в соцсети фотографии заблокированных компьютеров. Судя по ним, шифровальщик выводит на экран текст с требованием заплатить выкуп за разблокировку. Сумма выкупа — 0,05 биткоина за каждый компьютер, то есть более 16 тысяч рублей. После получения криптовалюты хакеры обещают дать пароль для снятия блока, пишет издание.

Глава Group-IB Илья Сачков заявил RNS, что «Интерфакс» и «Фонтанку» атаковал именно шифровальщик. «На данный момент похоже на атаку вирусом-шифровальщиком, в частности в редакциях заблокированы экраны компьютеров», — сказал эксперт. При этом в редакции «Фонтанки» эту информацию опровергли. «У нас совсем другой характер атаки, у нас именно взлом сервера, а не вирус-шифровальщик», — говорится в Telegram-канале издания.

Большинство пострадавших от вируса находятся в России, аналогичные атаки наблюдаются на Украине, в Турции и Германии, но там их значительно меньше, сообщается в блоге «Лаборатории Касперского». «Все признаки указывают на то, что это целенаправленная атака на корпоративные сети», — пишут специалисты.

Эксперт по кибербезопасности Алексей Раевский заявился «360», что, судя по первой информации, это «обыкновенный вирус-шифровальщик, который зашифровывает данные на жестком диске компьютера и требует выкуп, чтобы его расшифровать». «О том, как происходит заражение этим вирусом, пока информации не предоставлено. Сейчас проводятся исследования. Я думаю, что в ближайшие несколько часов уже будет известно», — сказал он.

Поэтому пока нет информации и о том, как защитить свой компьютер от атак.

В «Лаборатории Касперского» пользователям посоветовали способ защиты от вируса. Для этого необходимо запретить исполнение файлов C:\windows\infpub.dat, C:\Windows\cscc.dat и, если это возможно, запретить использование сервиса WMI. Данные рекомендации подходят тем, кто не использует продукты компании.