ESET saugumo ekspertai nustatė, kad Kijevo metro informacinę sistemą pažeidė kenkėjas „Diskcoder.D“, naujas išpirkos reikalaujančio viruso „Petya“ variantas. Daugiausiai šio kenkėjo atakų nustatyta Rusijoje (65 proc. atvejų) ir Ukrainoje (12,2 proc.), tarp kitų atakuojamų šalių yra Bulgarija (10,2 proc.) ir Turkija (6,4 proc.).
Įdomu tai, kad visos didžiosios organizacijos patyrė ataką tuo pačiu metu. Saugumo ekspertai daro prielaidą, kad už ataką atsakingų programišių grupė jau buvo įsilaužusi į pažeistas sistemas prieš paleidžiant vadinamąją „watering hole“ ataką.
Preliminariais duomenimis „Diskcoder.D“ naudoja „Mimikatz“ įrankius, kad išgautų prisijungimo duomenis prie atakuojamų sistemų. Kenkėjas bando prisijungti su turimu vartotojų vardų ir slaptažodžių sąrašu: Administrator – Administrator, Admin – administrator, Guest – Guest, User – guest, Test – Admin ir t.t.
Taip pat „Bad Rabbit“ platinamas per pažeistas populiarias svetaines – jose įterptas kenksmingas „JavaScript“ kodas.
Sąrašas užkrėstų svetainių, kuriose plinta „Bad Rabbit“ (dėl vartotojų saugumo nuorodos yra redaguotos):
hxxp://argumentiru[.]com
hxxp://www.fontanka[.]ru
hxxp://grupovo[.]bg
hxxp://www.sinematurk[.]com
hxxp://www.aica.co[.]jp
hxxp://spbvoditel[.]ru
hxxp://argumenti[.]ru
hxxp://www.mediaport[.]ua
hxxp://blog.fontanka[.]ru
hxxp://an-crimea[.]ru
hxxp://www.t.ks[.]ua
hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
hxxp://www.otbrana[.]com
hxxp://calendar.fontanka[.]ru
hxxp://www.grupovo[.]bg
hxxp://www.pensionhotel[.]cz
hxxp://www.online812[.]ru
hxxp://www.imer[.]ro
hxxp://novayagazeta.spb[.]ru
hxxp://i24.com[.]ua
hxxp://bg.pensionhotel[.]com
hxxp://ankerch-crimea[.]ru
ESET praneša, kad visi jų klientai yra apsaugoti nuo „Bad Rabbit“ atakos. Šiuo metu ESET toliau tiria kibernetinę ataką ir joje panaudotą „Diskcoder.D“.
