En ny ransomware-kampagne har ramt en række højt profilerede mål i Rusland og Østeuropa.
Ransomware med navnet Bad Rabbit begyndte først at inficere systemer tirsdag den 24. oktober, og den måde, hvorpå organisationer tilsyneladende er blevet ramt samtidig, trak straks sammenligninger med dette års WannaCry- og Petya-epidemier.
Efter det første udbrud var der en vis forvirring om, hvad Bad Rabbit præcist er. Nu hvor den indledende panik har lagt sig, er det imidlertid muligt at grave ned i, hvad der præcist foregår.
1. Cyberangrebet har ramt organisationer i hele Rusland og Østeuropa
Organisationer i hele Rusland og Ukraine – samt et mindre antal i Tyskland og Tyrkiet – er blevet ofre for ransomware. Forskere fra Avast siger, at de også har opdaget malware i Polen og Sydkorea.
Det russiske cybersikkerhedsfirma Group-IB bekræftede, at mindst tre medieorganisationer i landet er blevet ramt af filkrypterende malware, mens det russiske nyhedsbureau Interfax samtidig sagde, at dets systemer er blevet ramt af et “hackerangreb” — og tilsyneladende er blevet sat offline af hændelsen.
Andre organisationer i regionen, herunder Odessas internationale lufthavn og metroen i Kiev, har også udtalt sig om, at de er blevet ofre for et cyberangreb, mens CERT-UA, Ukraines Computer Emergency Response Team, også har meddelt, at “den mulige start på en ny bølge af cyberangreb på Ukraines informationsressourcer” er indtruffet, da rapporterne om Bad Rabbit-infektioner er begyndt at komme ind.
I skrivende stund menes det, at der er næsten 200 inficerede mål, hvilket indikerer, at der ikke er tale om et angreb, som WannaCry eller Petya var – men det skaber stadig problemer for de inficerede organisationer.
“Den samlede udbredelse af kendte prøver er ret lav sammenlignet med de andre “almindelige” stammer”,” siger Jakub Kroustek, malwareanalytiker hos Avast.
2. Det er helt sikkert ransomware
De uheldige nok til at blive ofre for angrebet indså hurtigt, hvad der var sket, fordi ransomware ikke er subtil – den præsenterer ofrene for en løsesumsnota, der fortæller dem, at deres filer er “ikke længere tilgængelige”, og at “ingen vil være i stand til at gendanne dem uden vores dekrypteringstjeneste”.
Bad Rabbit løsesumsnota.
Billede: ESET
Ofrene bliver ledt til en Tor-betalingsside og præsenteres for en nedtællingstimer. Betal inden for de første 40 timer eller deromkring, får de at vide, og betalingen for dekryptering af filer er 0,05 bitcoin – omkring 285 dollars. De, der ikke betaler løsesummen, inden timeren når nul, får at vide, at gebyret vil stige, og at de bliver nødt til at betale mere.
Bad Rabbit betalingsside.
Billede: Kaspersky Lab
Krypteringen bruger DiskCryptor, som er open source-legitim og software, der bruges til fuld drevkryptering. Nøglerne genereres ved hjælp af CryptGenRandom og beskyttes derefter af en hårdkodet RSA 2048 offentlig nøgle.
3. Den er baseret på Petya/ikke Petya
Hvis løsesumsbrevet ser bekendt ud, er det fordi det er næsten identisk med det, som ofrene for Petya-udbruddet i juni så. Lighederne er heller ikke kun kosmetiske – Bad Rabbit deler også elementer bag kulisserne med Petya.
En analyse foretaget af forskere hos Crowdstrike har vist, at Bad Rabbit og NotPetya’s DLL (dynamic link library) deler 67 procent af den samme kode, hvilket indikerer, at de to ransomware-varianter er nært beslægtede, og muligvis endda er det den samme trusselsaktør, der har arbejdet.
4. Den spredes via en falsk Flash-opdatering på kompromitterede websteder
Den vigtigste måde Bad Rabbit spredes på er drive-by downloads på hackede websteder. Der anvendes ingen exploits, men de besøgende på de kompromitterede websteder – hvoraf nogle har været kompromitteret siden juni – får at vide, at de skal installere en Flash-opdatering. Der er naturligvis ikke tale om en Flash-opdatering, men om en dropper til den skadelige installation.
Et kompromitteret websted, der beder en bruger om at installere en falsk Flash-opdatering, som spreder Bad Rabbit.
Billede: ESET
Inficerede websteder – for det meste baseret i Rusland, Bulgarien og Tyrkiet – er kompromitteret ved at få JavaScript injiceret i deres HTML-tekst eller i en af deres .js-filer.
5. Den kan sprede sig sideløbende på tværs af netværk…
I lighed med Petya har Bad Rabbit et effektivt trick i ærmet, idet den indeholder en SMB-komponent, som gør det muligt for den at bevæge sig sideløbende på tværs af et inficeret netværk og sprede sig uden brugerinteraktion, siger forskere fra Cisco Talos.
Det, der hjælper Bad Rabbit med at sprede sig, er en liste over enkle brugernavn- og adgangskodekombinationer, som den kan udnytte til at bryde sig igennem netværk. Listen over svage adgangskoder består af en række af de sædvanlige mistænkte for svage adgangskoder såsom simple talkombinationer og “password”.
6. … men den bruger ikke EternalBlue
Da Bad Rabbit først dukkede op, antydede nogle, at den ligesom WannaCry udnyttede EternalBlue-eksplosionen til at sprede sig. Det ser dog nu ikke ud til at være tilfældet.
“Vi har i øjeblikket ingen beviser for, at EternalBlue-eksplosionen udnyttes til at sprede infektionen,” siger Martin Lee, Technical Lead for Security Research hos Talos, til ZDNet.
7. Den er måske ikke vilkårlig
På samme tidspunkt efter WannaCry-udbruddet var hundredtusindvis af systemer rundt om i verden blevet ofre for ransomware. Bad Rabbit ser dog ikke ud til at inficere målene vilkårligt, men forskere har snarere foreslået, at den kun inficerer udvalgte mål.
“Vores observationer tyder på, at dette har været et målrettet angreb mod virksomhedsnetværk,” sagde forskerne fra Kaspersky Lab.
I mellemtiden siger forskere fra ESET, at instruktioner i scriptet, der er injiceret i inficerede websteder, “kan afgøre, om den besøgende er af interesse og derefter tilføje indhold til siden”, hvis målet anses for at være egnet til infektion.
På nuværende tidspunkt er der dog ingen åbenlys grund til, at medieorganisationer og infrastruktur i Rusland og Ukraine er blevet specifikt målrettet i dette angreb.
8. Det er ikke klart, hvem der står bag
På nuværende tidspunkt er det stadig uvist, hvem der distribuerer ransomware eller hvorfor, men ligheden med Petya har fået nogle forskere til at foreslå, at Bad Rabbit er fra den samme angrebsgruppe – selv om det heller ikke hjælper med at identificere angriberen eller motivet, fordi gerningsmanden bag juni-epidemien aldrig er blevet identificeret.
Det, der kendetegner dette angreb, er, hvordan det primært har inficeret Rusland – østeuropæiske cyberkriminelle organisationer har tendens til at undgå at angribe “moderlandet”, hvilket indikerer, at det er usandsynligt, at der er tale om en russisk gruppe.
9. Den indeholder Game of Thrones-referencer
Hvem det end er, der står bag Bad Rabbit, lader det til at være en fan af Game of Thrones: koden indeholder referencer til Viserion, Drogon og Rhaegal, de drager, der optræder i tv-serien og de romaner, som den er baseret på. Forfatterne af koden gør derfor ikke meget for at ændre det stereotype billede af hackere som nørder og nørder.
Referencer til Game of Thrones-drager i koden.
Billede: Kaspersky Lab
10. Du kan beskytte dig mod at blive inficeret af det
På nuværende tidspunkt er det ukendt, om det er muligt at dekryptere filer, der er låst af Bad Rabbit, uden at give efter og betale løsesummen – selv om forskerne siger, at de, der bliver ofre, ikke bør betale gebyret, da det kun vil fremme væksten af ransomware.
En række sikkerhedsleverandører siger, at deres produkter beskytter mod Bad Rabbit. Men for dem, der vil være sikre på, at de ikke potentielt bliver ofre for angrebet, siger Kaspersky Lab, at brugerne kan blokere eksekveringen af filen ‘c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.’ for at forhindre infektion.
Previous coverage
Bad Rabbit ransomware: En ny variant af Petya spreder sig, advarer forskere
Opdateret: Organisationer i Rusland, Ukraine og andre lande er blevet ofre for, hvad der menes at være en ny variant af ransomware.
Bad Rabbit ransomware: En ny variant af Petya spreder sig, advarer forskere
Opdateret: Organisationer i Rusland, Ukraine og andre lande er blevet ofre for, hvad der menes at være en ny variant af ransomware.
LÆS MERE OM RANSOMWARE
- Efter WannaCry vil ransomware blive værre, før det bliver bedre
- Ransomware: En guide til en af de største trusler på nettet
- 6 tips til at undgå ransomware efter Petya og WannaCry (TechRepublic)
- Din manglende anvendelse af kritiske cybersikkerhedsopdateringer udsætter din virksomhed for risiko fra den næste WannaCry eller Petya
- Sådan beskytter du dig mod WannaCry-ransomware (CNET)