Bad Rabbit все же использовал эксплоит АНБ

ИБ-специалисты продолжают изучать шифровальщик Bad Rabbit, в начале текущей недели атаковавший российские и украинские СМИ и организации. Напомню, что жертвами «Плохого кролика» стали «Интерфакс», «Фонтанка», Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры.

Ранее мы уже рассказывали о первых выводах, к которым пришли эксперты ведущих мировых компаний после атаки. Но специалисты продолжают изучать шифровальщика, так что за последние два дня появилось немало новых, небезынтересных подробностей.

Теперь о связи Bad Rabbit с вайпером NotPetya говорят уже повсеместно. Об этом в своих отчетах пишут Bitdefender, Cisco Talos, ESET, Group-IB, Intezer Labs, «Лаборатория Касперского» и Malwarebytes. Все исследователи согласны в одном – у вредоносов, скорее всего, общие корни, так как они весьма похожи, хотя большая часть кода и была переписана. Это значит, что вредоносы могли быть созданы одной хакерской группой. Если теории специалистов верны, то за созданием Bad Rabbit и NotPetya, по всей видимости, стоит группировка TeleBots (она же BlackEnergy и Sandworm Team), которую ранее уже связывали с эпидемией, вызванной NotPetya. Эти же злоумышленники были ответственны за разработку малвари XData и KillDisk, а также стояли за атаками на энергосистему Украины.

Ранее сообщалось, что на скорость распространения Bad Rabbit повлияло использование утилиты Mimikatz , SMB и WebDAV, но при этом злоумышленники обошлись без украденных у АНБ эксплоитов. «В настоящее время у нас нет доказательств того, что эксплойт EternalBlue был как-либо задействован в атаках вымогателя Bad Rabbit. Однако мы отметили использование эксплойта EternalRomance для распространения в сети. Этот эксплойт использует уязвимость, описанную в бюллетене по безопасности Microsoft MS17-010. Эта брешь также была использована во время кампании Nyetya», — говорится в анализе, опубликованном командой Cisco Talos.

Теперь выяснилось, что специалисты поспешили с выводами. Аналитики Cisco Talos и F-Secure обнаружили, что похищенные у АНБ хакерские инструменты все же были задействованы во время атаки. Как оказалось, авторы Bad Rabbit использовали не EternalBlue, а похожий эксплоит EternalRomance, тоже эксплуатирующий бреши в SMB. Этот факт был обнаружен не сразу, так как атакующие значительно переделали эксплоит, и автоматическое сканирование его не распознало.

Исследователи Cisco Talos отмечают, что данная версия EternalRomance очень похожа на Python-имплементацию эксплоита использованного для распространения NotPetya. Новый вариант по-прежнему близок к оригинальному EternalRomance, который был опубликован хакерской группой The Shadow Brokers, исходно похитившей кибероружие у АНБ.

Теперь, когда основные технические подробности о Bad Rabbit известны, специалисты пытаются понять, какую цель преследовали авторы малвари. Как уже отмечалось ранее, в отличие от NotPetya новая угроза не является вайпером, то есть не уничтожает информацию на жестких дисках своих жертв. По сути, Bad Rabbit был именно тем, чем казался – шифровальщиком. Но крайне скромная сумма выкупа (вымогатели требовали всего 0,05 биткоина), выбор целей для атак, а также прошлые «заслуги» группировки TeleBots заставляют специалистов предположить, что «Плохой кролик» мог быть лишь прикрытием для некой более серьезной атаки. То есть шифровальщик мог просто отвлекать внимание и заметать следы.