Целью вчерашних кибератак могло быть отвлечение внимания

Кибератаки под условными названиями Locky1024 и BadRabbit, которые произошли в Украине 24 октября, могут оказаться отвлекающим маневром. К такому выводу пришли эксперты компании ISSP.

24 октября в Украине были зафиксированы новые кибератаки, которые поразили целый ряд инфраструктурных объектов, в том числе Одесский аэропорт, банковские сервисы Киевского метро и другие.

"В данный момент пока нельзя однозначно утверждать, являются ли наблюдаемые векторы атак, один из которых получил предварительное название "Bad Rabbit", а второй эксперты ISSP Labs назвали Locky1024, самостоятельными новыми векторами, или же отвлечением внимания от продолжающейся "основной атаки", этап кульминации и зачистки по которой, получивший название Petya/NotPetya, наблюдался 27 июля 2017 года…", - сообщают эксперты ISSP Labs.

Они сейчас работают над анализом поступивших в лабораторию образцов Locky1024 и BadRabbit. В данный момент они могут с уверенностью сказать, что образец Locky1024 не используется для получения паролей и не распространяется дальше по локальной сети. Это означает, что этот вектор не аналогичен Petya/NotPetya, как поспешно сообщали некоторые эксперты и компании по кибербезопасности.

"Данный вектор атаки может выступать прикрытием для другой, скрытой атаки, которая осталась незамеченной за всеобщим вниманием к шифровальщикам (такая же вероятность существует и по вектору BadRabbit)", - отмечают в ISSP Labs.

Они обращают внимание специалистов по кибербезопасности, что после Petya/NotPetya во многих организациях остались так называемые спящие агенты (Sleeper Agents), поэтому с высокой долей вероятности злоумышленники продолжают находиться и иметь доступ к инфраструктурам организаций, как пострадавших, так и формально не пострадавших от NotPetya.