Согласно новому отчету компании, занимающейся вопросами кибербезопасности, компьютерный код, лежащий в основе массированной атаки вымогательского ПО, осуществленной русскоязычной хакерской группировкой REvil, был написан таким образом, чтобы вредоносная программа избегала систем, использующих преимущественно русский или родственные языки.
Давно известно, что некоторые вредоносные программы включают эту функцию, но отчет Trustwave SpiderLabs, полученный эксклюзивно NBC News, похоже, первый, который публично идентифицирует ее как элемент последней атаки, которая, как полагают, является крупнейшей кампанией по распространению выкупного ПО в истории, информируют Экономические новости.
“Они не хотят раздражать местные власти и знают, что смогут вести свой бизнес гораздо дольше, если сделают это таким образом”, — сказал Зив Мадор, вице-президент Trustwave SpiderLabs по исследованиям в области безопасности.
Новое разоблачение подчеркивает, что большинство программ-выкупов распространяется из России и стран бывшего Советского Союза, и обращает внимание на проблему, с которой сталкивается администрация Байдена, обдумывая возможные ответные меры.
Байден заявил, что его администрация еще не определила, откуда произошла последняя атака. Судя по всему, она не оказала значительного разрушительного воздействия на США, но ее называют крупнейшей в истории по объему атаки вымогательского ПО, заразившей, по данным исследователей безопасности, около 1500 структур.
Атака была особенно изощренной и использовала ранее неизвестный недостаток программного обеспечения – уязвимость “нулевого уровня” – для заражения одной ИТ-компании, которая затем заразила другие ИТ-компании, которые затем заразили сотни клиентов.
Trustwave заявила, что программа-вымогатель “избегает систем, в которых по умолчанию используются языки стран, входивших в состав СССР. Сюда входят русский, украинский, белорусский, таджикский, армянский, азербайджанский, грузинский, казахский, киргизский, туркменский, узбекский, татарский, румынский, русский молдавский, сирийский и сирийский арабский языки”.
В мае эксперт по кибербезопасности Брайан Кребс отметил, что программа для выкупа от DarkSide, российской группы, которая атаковала Colonial Pipeline в мае, “имеет жестко закодированный список стран, запрещенных к установке”, включая Россию и бывшие советские сателлиты, которые в основном имеют благоприятный характер отношений с Кремлем.
Компания Colonial управляет крупнейшим трубопроводом по транспортировке топлива в США и была вынуждена на несколько дней прекратить все операции, пытаясь вернуться к работе, что привело к нехватке газа по всей стране.
