Nová kampaň ransomwaru zasáhla řadu významných cílů v Rusku a východní Evropě.
Ransomware s názvem Bad Rabbit začal poprvé infikovat systémy v úterý 24. října a způsob, jakým byly organizace zřejmě zasaženy současně, okamžitě vyvolal srovnání s letošními epidemiemi WannaCry a Petya.
Po prvním vypuknutí epidemie se objevily nejasnosti ohledně toho, co přesně Bad Rabbit je. Nyní, když počáteční panika opadla, je však možné proniknout do toho, o co přesně jde.
1. Kybernetický útok zasáhl organizace v Rusku a východní Evropě
Obětí ransomwaru se staly organizace v Rusku a na Ukrajině – a také v malém počtu v Německu a Turecku. Výzkumníci společnosti Avast tvrdí, že tento malware zjistili také v Polsku a Jižní Koreji.
Ruská kyberbezpečnostní společnost Group-IB potvrdila, že škodlivým softwarem šifrujícím soubory byly zasaženy nejméně tři mediální organizace v zemi, a zároveň ruská tisková agentura Interfax uvedla, že její systémy byly zasaženy „hackerským útokem“ — a zřejmě byly tímto incidentem vyřazeny z provozu.
Další organizace v regionu, včetně mezinárodního letiště v Oděse a kyjevského metra, rovněž vydaly prohlášení o tom, že se staly obětí kybernetického útoku, zatímco CERT-UA, ukrajinský tým pro reakci na počítačové hrozby, rovněž zveřejnil, že došlo k „možnému začátku nové vlny kybernetických útoků na ukrajinské informační zdroje“, protože začaly přicházet zprávy o infekci Bad Rabbit.
V době psaní tohoto článku se předpokládá, že infikovaných cílů je téměř 200, což naznačuje, že se nejedná o útok, jakým byl WannaCry nebo Petya – přesto však způsobuje infikovaným organizacím problémy.
„Celkový výskyt známých vzorků je v porovnání s ostatními „běžnými“ kmeny poměrně nízký,“ uvedl Jakub Kroustek, analytik malwaru ve společnosti Avast.
2. „V porovnání s ostatními „běžnými“ kmeny je výskyt známých vzorků poměrně nízký,“ řekl Jakub Kroustek. Rozhodně se jedná o ransomware
Ti, kteří měli tu smůlu, že se stali obětí útoku, rychle pochopili, co se stalo, protože ransomware není nijak nenápadný – obětem předkládá zprávu o výkupném, která jim říká, že jejich soubory „již nejsou přístupné“ a „bez naší dešifrovací služby je nikdo nebude moci obnovit“.
Oběti jsou přesměrovány na platební stránku Tor a je jim zobrazen časovač odpočítávání. Jsou informováni, že mají zaplatit během prvních zhruba 40 hodin a platba za dešifrování souborů činí 0,05 bitcoinu – přibližně 285 dolarů. Těm, kteří nezaplatí výkupné dříve, než časovač dosáhne nuly, je sděleno, že se poplatek zvýší a budou muset zaplatit více.
Šifrování využívá DiskCryptor, což je legitimní software s otevřeným zdrojovým kódem, který se používá pro úplné šifrování disku. Klíče jsou generovány pomocí CryptGenRandom a poté chráněny pevně zakódovaným veřejným klíčem RSA 2048.
3. Vychází z Petya/Not Petya
Pokud vám oznámení o výkupném připadá povědomé, je to proto, že je téměř totožné s tím, které viděly oběti červnové epidemie Petya. Podobnosti nejsou jen kosmetické – Bad Rabbit sdílí s Petyou i prvky v zákulisí.
Analýza výzkumníků ze společnosti Crowdstrike zjistila, že DLL (dynamická knihovna odkazů) Bad Rabbit a NotPetya sdílejí 67 procent stejného kódu, což naznačuje, že obě varianty ransomwaru jsou úzce příbuzné, potenciálně dokonce dílem stejného aktéra hrozby.
4. Šíří se prostřednictvím falešné aktualizace Flash na napadených webových stránkách
Hlavním způsobem, jak se Bad Rabbit šíří, je stahování drive-by na napadených webových stránkách. Nepoužívají se žádné exploity, ale návštěvníkům napadených webových stránek – některé z nich byly napadeny již v červnu – je sděleno, že je třeba nainstalovat aktualizaci Flash. Samozřejmě se nejedná o žádnou aktualizaci Flash, ale o dropper pro škodlivou instalaci.
Infikované webové stránky — většinou se sídlem v Rusku, Bulharsku a Turecku — jsou kompromitovány tím, že je do jejich těla HTML nebo do některého ze souborů .js injektován JavaScript.
5. Infikované webové stránky se nacházejí na území Ruska, Bulharska a Turecka. Může se šířit laterálně napříč sítí…
Podobně jako Petya má Bad Rabbit v rukávu silný trik, protože obsahuje komponentu SMB, která mu umožňuje pohybovat se laterálně napříč infikovanou sítí a šířit se bez interakce uživatele, tvrdí výzkumníci ze společnosti Cisco Talos.
To, co napomáhá schopnosti Bad Rabbita šířit se, je seznam jednoduchých kombinací uživatelského jména a hesla, které může zneužít k brutálnímu pronikání napříč sítí. Seznam slabých hesel se skládá z řady obvyklých podezřelých slabých hesel, jako jsou jednoduché číselné kombinace a „heslo“.
6. … ale nepoužívá EternalBlue
Když se Bad Rabbit objevil poprvé, někteří předpokládali, že stejně jako WannaCry využívá k šíření exploit EternalBlue. Nyní se však zdá, že tomu tak není.
„V současné době nemáme žádné důkazy o tom, že by k šíření infekce využíval exploit EternalBlue,“ uvedl pro ZDNet Martin Lee, technický vedoucí bezpečnostního výzkumu ve společnosti Talos.
7. Nemusí být nevybíravý
Ve stejném okamžiku po vypuknutí epidemie WannaCry se obětí ransomwaru staly statisíce systémů po celém světě. Zdá se však, že Bad Rabbit neinfikuje cíle nevybíravě, spíše výzkumníci naznačili, že infikuje pouze vybrané cíle.
„Naše pozorování naznačují, že se jednalo o cílený útok na podnikové sítě,“ uvedli výzkumníci Kaspersky Lab.
Výzkumníci společnosti ESET mezitím uvedli, že instrukce ve skriptu injektovaném do infikovaných webových stránek „mohou určit, zda je návštěvník zajímavý, a poté přidat obsah stránky“, pokud je cíl považován za vhodný k infekci.
V této fázi však není zřejmý důvod, proč byly mediální organizace a infrastruktura v Rusku a na Ukrajině při tomto útoku specificky zaměřeny.
8. Útočníci společnosti ESET se domnívají, že tento útok byl proveden na území Ruska a Ukrajiny. Není jasné, kdo za ním stojí
V tuto chvíli stále není známo, kdo a proč ransomware šíří, ale podobnost s útokem Petya vedla některé výzkumníky k domněnce, že Bad Rabbit je dílem stejné útočné skupiny – i když ani to nepomáhá identifikovat útočníka nebo motiv, protože pachatel červnové epidemie nebyl nikdy identifikován.
Co tento útok odlišuje, je způsob, jakým primárně infikoval Rusko – východoevropské kyberzločinecké organizace mají tendenci vyhýbat se útokům na „vlast“, což naznačuje, že se pravděpodobně nejedná o ruskou skupinu.
9. Útok Rabbit se odehrál v Rusku. Obsahuje odkazy na seriál Hra o trůny
Ať už za útokem Bad Rabbit stojí kdokoli, zdá se, že je fanouškem seriálu Hra o trůny: kód obsahuje odkazy na Viseriona, Drogona a Rhaegala, draky, kteří vystupují v televizním seriálu a románech, z nichž vychází. Autoři kódu tedy nedělají mnoho pro to, aby změnili stereotypní obraz hackerů jako geeků a nerdů.
10. Můžete se chránit před tím, abyste se jím nakazili
V této fázi není známo, zda je možné dešifrovat soubory uzamčené Bad Rabbitem, aniž byste se vzdali a zaplatili výkupné – i když výzkumníci tvrdí, že ti, kteří se stanou obětí, by neměli platit poplatek, protože to jen podpoří růst ransomwaru.
Řada dodavatelů zabezpečení tvrdí, že jejich produkty chrání před Bad Rabbitem. Ale ti, kteří chtějí mít jistotu, že se potenciálně nestanou obětí útoku, mohou podle Kaspersky Lab zablokovat spuštění souboru ‚c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.‘, aby zabránili infekci.
Předchozí zpravodajství
Bad Rabbit ransomware: Nová varianta viru Petya se šíří, varují výzkumníci
Aktualizováno: Organizace v Rusku, na Ukrajině a v dalších zemích se staly obětí pravděpodobně nové varianty ransomwaru
VÍCE O RANSOMWARE
- Po WannaCry bude ransomware ještě horší, než se zlepší
- Ransomware:
- 6 tipů, jak se vyhnout ransomwaru po Petya a WannaCry (TechRepublic)
- Neuplatnění kritických aktualizací kybernetické bezpečnosti ohrožuje vaši firmu dalším WannaCry nebo Petya
- Jak se chránit před ransomwarem WannaCry (CNET)
.