Раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com
Специалисты компании Group-IB, которая занимается расследованиями киберпреступлений, определили имя домена, откуда началось распространение вируса-шифровальщика BadRabbit. Об этом говорится в сообщении, размещенном на сайте компании.
В Group-IB узнали, что у IP домена, раздававшего вирусы, есть связь с пятью ресурсами, на владельцев которых зарегистрированы множество других сайтов, в том числе фарм-партнерок.
«Расследование показало, что раздача вредоносного ПО проводилась с ресурса 1dnscontrol.com. Доменное имя 1dnscontrol.com имеет IP 5.61.37.209», – говорится в сообщении.
Вирус-шифровальщик BadRabbit 24 октября атаковал российские СМИ и компании на Украине. В частности, среди жертв хакеров оказалось российское информационное агентство «Интерфакс» и интернет-газета «Фонтанка». Пострадали также ресурсы Одесского аэропорта, Киевского метрополитена и Министерства инфраструктуры Украины.
Заражение происходило через лже-обновление повсеместно используемого Adobe Flash Player. В результате пользователь атакованного компьютера получал сообщение, что для разблокировки ему требуется перевести на определенный счет 0,05 биткоина (около 280 долларов по курсу криптовалюты).