menu
menu
logo

«Кроличья» атака

Вчера во второй половине дня была зафиксирована мощная вспышка атак нового зловреда-шифровальщика BadRabbit. Вредоносное ПО инфицировало и заблокировало системы ряда российских СМИ, включая агентство «Интерфакс» и интернет-газету «Фонтанка», киевского метрополитена, международного аэропорта Одессы, Министерства инфраструктуры Украины. Представители компании Group IB, первой обнаружившей атаку, сообщают также, что зловред пытался проникнуть в системы нескольких крупных российских банков. Кроме того, атаки BadRabbit были зафиксированы в Турции, Германии, Болгарии, Польше и Южной Корее. Тем не менее, львиная доля всех атак (более 60 процентов) приходится именно на российские организации.

Первичным вектором распространения BadRabbit эксперты называют атаку по типу watering hole – взлом злоумышленниками популярных ресурсов и размещение на них вредоносного ПО. В данном случае оно было замаскировано под обновление Flash Player. При его загрузке на компьютер под управлением ОС Windows зловред начинает шифровать все типы файлов, а также повышает уровень собственных привилегий, сканирует систему в поисках сохраненных паролей и использует их для распространения по сети и инфицирования новых устройств. Некоторые исследователи также утверждают, что BadRabbit устанавливал на ряд зараженных устройств еще и кейлоггеры – программы для клавиатурного шпионажа. По окончании процесса шифрования компьютер перезагружается, и на экран выводится сообщение о блокировке с указанием адреса в анонимной сети Tor, где жертва может заплатить 0,05 биткоина (немногим более 280 долларов) за разблокировку. При этом зловред ведет отсчет времени, и если пользователь не торопится выполнить требования вымогателей, цена возрастает.

Эксперты Group IB указывают, что ряд фрагментов кода BadRabbit полностью совпадает с кодом шифровальщика NotPetya, атаки которого в июне нынешнего года причинили серьезный ущерб компаниям во всем мире. На этом основании они делают вывод, что BadRabbit является усовершенствованной вариацией NotPetya. Но эту точку зрения разделяют не все специалисты: скажем, исследователи компании Check Point полагают, что BadRabbit все же является новым и уникальным вредоносным ПО, хотя и имеет некоторое сходство с NotPetya. Нет ясности и в вопросе о том, использует ли зловред эксплойт Eternalblue, похищенный хакерами у АНБ США и задействованный в атаках NotPetya, а еще ранее – WannaCry. Наконец, обращает на себя внимание то, что сообщение о блокировке выводится на экраны инфицированных устройств исключительно на английском языке – при этом ни одну англоговорящую страну атака не затронула. Очевидно, во всех этих вопросах предстоит разбираться специалистам по кибербезопасности.

Пока же атаки BadRabbit остановлены. Исследователи установили домены, послужившие первичным источником распространения зловреда. Они также рекомендуют пользователям создать на своих компьютерах файл C:\windows\infpub.dat с правами «только для чтения». При наличии такого файла в системе шифрование данных не происходит, даже если компьютер инфицирован BadRabbit.

В России меняются требования к идентификации администраторов доменов в зонах .ru/.рф/.su
В России меняются требования к идентификации администраторов доменов в зонах .ru/.рф/.su
С 1 сентября 2026 года в России вводится обязательная идентификация администраторов доменов в зонах .ru, .рф и .su через портал «Госуслуги» (ЕСИА). Такая норма закреплена в Федеральном законе от 29.12.2025 № 569-ФЗ. С момента вступления в силу новых требований зарегистрировать домен или продлить существующий можно будет только после подтверждения личности с помощью верифицированного аккаунта на «Госуслугах».
ЦС ТЦИ внедрил протокол ACME и начал публичное тестирование сервиса
ЦС ТЦИ внедрил протокол ACME и начал публичное тестирование сервиса
Центр сертификации Технического центра Интернет (ЦС ТЦИ) внедрил поддержку протокола ACME для автоматизации выпуска TLS сертификатов и открыл публичное тестирование сервиса на отдельной инфраструктуре.
Российский бизнес заменяет зарубежные TLS‑сертификаты на решения ТЦИ
Российский бизнес заменяет зарубежные TLS‑сертификаты на решения ТЦИ
Центр сертификации ТЦИ фиксирует кратный рост спроса на отечественные TLS‑сертификаты. За последние 10 дней существенно увеличилось число заявок от корпоративных клиентов и запросов на wildcard‑сертификаты для защиты групп доменов внутри единой инфраструктуры.
ЦС ТЦИ расширил линейку сертификатов и поддержал новые требования CA/Browser Forum
ЦС ТЦИ расширил линейку сертификатов и поддержал новые требования CA/Browser Forum
Центр сертификации ТЦИ расширил линейку TLS-сертификатов. Теперь наряду с привычными вариантами на 90 и 365 дней пользователям доступны сертификаты сроком на 199 дней. Это соответствует новым требованиям организации CA/Browser Forum, которая с 15 марта 2026 года установила максимальный срок действия публичных TLS-сертификатов в 200 дней.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-29-69
info@tcinet.ru

Клиентская служба

+7 495 730-29-70

vk-img ВКонтакте