Eset досліджувала схему поширення шифратора Win32/Diskcoder.D (Bad Rabbit). Зловмисники, які стоять за кібератакою 24 жовтня, використовували скомпрометовані сайти, популярні в Росії та деяких інших країнах, які торкнулися епідемії.

За даними Eset, Win32/Diskcoder.D – модифікована версія Win32/Diskcoder.C, більш відомого як Petya/NotPetya. У новій шкідливій програмі виправлено помилки у шифруванні файлів. Тепер шифрування здійснюється за допомогою DiskCryptor – легітимного програмного забезпечення з відкритим вихідним кодом, призначеного для шифрування логічних дисків, зовнішніх USB-накопичувачів та образів CD/DVD, а також завантажувальних системних розділів диска.

Ключі генеруються за допомогою CryptGenRandom і захищені жорстко закодованим відкритим ключем RSA 2048. Файли зашифровані з розширенням .encrypted. Як і раніше, використовується алгоритм AES-128-CBC.

Для поширення Diskcoder.D зловмисники скомпрометували популярні сайти, впровадивши в них шкідливий JavaScript.

Атаку шифратора Diskcoder.D зазнали російські ЗМІ, а також транспортні компанії та державні установи України. Статистика атак значною мірою відповідає географічному розподілу сайтів, що містять шкідливий JavaScript.

Коли користувач заходить на заражений сайт, шкідливий код передає інформацію про нього на віддалений С&С-сервер. Далі логіка на стороні сервера може визначити, чи цікавий відвідувач сайту, і при необхідності додає на сторінку новий контент. В Eset спостерігали, як на скомпрометованому сайті з'являється спливаюче вікно з пропозицією завантажити оновлення для Flash Player. В даний час зв'язок шкідливої ​​програми з віддаленим сервером Відсутнє.

Натиснувши на кнопку «Install/Встановити», користувач ініціює завантаження файлу, що виконується, який у свою чергу запускає в системі шифратор Win32/Filecoder.D. Далі файли жертви будуть зашифровані, і на екрані з'явиться вимога викупу в розмірі 0,05 біткоїну (близько 17 руб.).

Заразивши робочу станцію в організації, шифратор може поширюватися всередині корпоративної мережі через протокол SMB. На відміну від свого попередника Petya/NotPetya, Bad Rabbit не використовує експлойт EthernalBlue - натомість він сканує мережу на предмет відкритих мережевих ресурсів. На зараженій машині запускається інструмент Mimikatz для збирання облікових даних. Передбачено жорстко закодований список логінів та паролів.