Group-IB считает BadRabbit модифицированной версией NotPetya

Атаковавший во вторник СМИ вирус BadRabbit связан с вирусом-шифровальщиком NotPetya, сообщили в компании Group-IB, специализирующейся на предотвращении киберпреступлений.

«Совпадения в коде указывают на связь атаки с использованием BadRabbit с июньской эпидемией шифровальщика NotPetya, поразившего энергетические, телекоммуникационные и финансовые компании», - написала Group-IB в Telegram.

Компания отмечает, что «в атаке NotPetya содержался такой же алгоритм вычисления хеш суммы от имени процесса, с тем отличием, что начальный вектор инициализации в случае NotPetya 0x12345678, а в BadRabbit - 0x87654321».

Ранее вирусная лаборатория Eset обнаружила связь BadRabbit с вирусом NotPetya. В последних атаках было использовано «вредоносное ПО Diskcoder.D - новая модификация шифратора, известного как Petya».

Во вторник вирус-шифровальщик BadRabbit атаковал сайты «Интерфакса», «Аргументов недели», «Фонтанки», а также киевского метрополитена, международного аэропорта Одессы и мининфраструктуры Украины. Это третья вирусная эпидемия за 2017 г. В мае 2017 г. вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Затем 27 июня вирус Petya (NotPetya и ExPetr) проник в 12 500 компьютеров в 65 странах.