За атакой BadRabbit стоят те же хакеры, создали NotPetya

За разработкой и распространением вируса BadRabbit стоит та же самая группировка хакеров BlackEnergy, которая создала вирус NotPetya. Об этом сообщила компания по предотвращению и расследованию киберпреступлений Group-IB на своем сайте.

"Скорее всего, за атакой BadRabbit, которая состоялась 25 октября та эпидемией вируса NotPetya, который в июне 2017 напал на энергетический, телекоммуникационный и финансовый секторы в Украине стоит одна и та же группировка хакеров BlackEnergy. Исследования показали, что код BadRabbit был скопирован с источников NotPetya ", - сообщили в сайтиGroup-IB.

По информации сайта Group-IB, группа злоумышленников изменила свои инструменты и попыталась скрыть себя как обычную группу Cybercrime.

"Раньше вирус NotPetya использов только один биткойн-кошелек для выкупа, который предусматривал, что авторы не собирались расшифровывать файлы жертв и их главной целью был саботаж. Однако в Bad Rabbit для каждого зараженного компьютера создается уникальный ключ, а для каждого ключа - собственный биткойнов-кошелек. Благодаря чему сложнее отследить платежи выкупа. Кроме того, в атаке BadRabbit использовалось одно и то же доменное имя, которое ранее использовалось в обычной киберпреступных деятельности для фишинга и распределения трафика ", - отметили в Group-IB.

Кроме того, согласно анализу, файлы на домене в сети TOR показали, что сайт был подготовлен еще 19 октября, а сама вредоносная программа содержала дату подписи сертификатом от 25 октября, хотя сама атака началась 24 октября. Некоторые из модулей содержат дату компиляции по 22 октября.

"Все это указывает на то, что сама атака была тщательно спланирована и, скорее всего, была запланирована на 25 октября", - проинформировали в Group-IB.