Uusi lunnasohjelmakampanja on iskenyt useisiin korkean profiilin kohteisiin Venäjällä ja Itä-Euroopassa.
Bad Rabbitiksi kutsuttu lunnasohjelma alkoi tartuttaa järjestelmiä ensimmäisen kerran tiistaina 24. lokakuuta, ja tapa, jolla organisaatiot näyttävät kärsineen samanaikaisesti, herätti heti vertauksia tämän vuoden WannaCry- ja Petya-epidemioihin.
Alkuperäisen epidemiaepidemian jälkeen oli jonkin verran epäselvyyttä siitä, mikä tarkalleen ottaen Bad Rabbit on. Nyt kun alkupaniikki on kuitenkin laantunut, on mahdollista perehtyä siihen, mistä tarkalleen ottaen on kyse.
1. Kyberhyökkäys on iskenyt organisaatioihin eri puolilla Venäjää ja Itä-Eurooppaa
Organisaatiot eri puolilla Venäjää ja Ukrainaa – sekä pieni määrä Saksassa ja Turkissa – ovat joutuneet lunnasohjelman uhreiksi. Avastin tutkijat kertovat havainneensa haittaohjelman myös Puolassa ja Etelä-Koreassa.
Venäläinen kyberturvayhtiö Group-IB vahvisti, että ainakin kolme maan mediaorganisaatiota on joutunut tiedostojen salaushaittaohjelman uhreiksi, kun taas samaan aikaan venäläinen uutistoimisto Interfax kertoi, että sen järjestelmät ovat joutuneet ”hakkerihyökkäyksen” kohteeksi ja että ne ovat näennäisesti olleet offline-tilassa.
Myös muut alueen organisaatiot, kuten Odessan kansainvälinen lentokenttä ja Kiovan metro, antoivat lausuntoja verkkohyökkäyksen uhriksi joutumisesta, kun taas Ukrainan tietokonehätätilanteisiin reagoiva CERT-UA (Computer Emergency Response Team of Ukraine) kirjoitti myös, että Ukrainan tietoresursseihin kohdistuvien verkkohyökkäysten uuden aallon mahdollinen alku oli tapahtunut, kun raportteja Bad Rabbit -tartunnoista alkoi tulla.
Tätä kirjoitettaessa uskotaan, että tartunnan saaneita kohteita on lähes 200, mikä osoittaa, että kyseessä ei ole WannaCryn tai Petyan kaltainen hyökkäys – mutta se aiheuttaa silti ongelmia tartunnan saaneille organisaatioille.
”Tunnettujen näytteiden kokonaislevinneisyys on melko alhainen verrattuna muihin ”yleisiin” kantoihin”, sanoi Jakub Kroustek, Avastin haittaohjelma-analyytikko.
2 . Kyseessä on ehdottomasti lunnasohjelma
Hyökkäyksen uhriksi epäonnekseen joutuneet tajusivat nopeasti, mitä oli tapahtunut, sillä lunnasohjelma ei ole hienovarainen – se esittää uhreille lunnasvaatimuslappusen, jossa kerrotaan, että heidän tiedostoihinsa ei ”pääse enää käsiksi” ja että ”kukaan ei pysty palauttamaan niitä ilman salauksenpurkupalveluamme”.
Paha Rabbit -lunnasvaatimuslappu.
Kuva: ESET
Uhrit ohjataan Tor-maksusivulle ja heille näytetään lähtölaskenta-aika. Heille sanotaan, että maksa noin 40 tunnin kuluessa, ja maksu tiedostojen salauksen purkamisesta on 0,05 bitcoinia – noin 285 dollaria. Niille, jotka eivät maksa lunnaita ennen kuin ajastin saavuttaa nollan, kerrotaan, että maksu nousee ja heidän on maksettava enemmän.
Bad Rabbit -maksusivu.
Kuva: Kaspersky Lab
Salaus käyttää DiskCryptoria, joka on avoimen lähdekoodin laillinen ja ohjelmisto, jota käytetään koko aseman salaukseen. Avaimet luodaan CryptGenRandom-ohjelmalla ja suojataan sitten kovakoodatulla RSA 2048 -julkisella avaimella.
3. Se perustuu Petyaan/Ei Petyaan
Jos lunnasvaatimus näyttää tutulta, se johtuu siitä, että se on lähes identtinen sen kanssa, jonka kesäkuun Petya-epidemian uhrit näkivät. Samankaltaisuudet eivät ole vain kosmeettisia – Bad Rabbitilla on myös kulissien takana samoja elementtejä kuin Petyalla.
Crowdstriken tutkijoiden analyysissä on havaittu, että Bad Rabbitin ja NotPetyan DLL-kirjastot (dynaamiset linkkikirjastot) jakavat 67 prosenttia samasta koodista, mikä viittaa siihen, että nämä kaksi lunnasohjelmavarianttia ovat läheisessä yhteydessä toisiinsa, ja että ne ovat mahdollisesti jopa saman uhkatekijän tekemiä.
4. Se leviää väärennetyn Flash-päivityksen kautta vaarantuneilla verkkosivustoilla
Pääasiallinen tapa, jolla Bad Rabbit leviää, on drive-by-lataukset hakkeroiduilla verkkosivustoilla. Hyödyntämiskeinoja ei käytetä, vaan vaarantuneiden verkkosivustojen kävijöille – joista osa on vaarantunut kesäkuusta lähtien – kerrotaan, että heidän on asennettava Flash-päivitys. Kyseessä ei tietenkään ole Flash-päivitys, vaan dropperi haitallista asennusta varten.
Vaurioitunut verkkosivusto pyytää käyttäjää asentamaan väärennetyn Flash-päivityksen, joka levittää Bad Rabbitia.
Kuva: ESET
Tartunnan saaneet sivustot – jotka sijaitsevat enimmäkseen Venäjällä, Bulgariassa ja Turkissa – on vaarannettu siten, että niiden HTML-runkoon tai johonkin .js-tiedostoon on lisätty JavaScript.
5. KUVA: ESET
. Se voi levitä sivusuunnassa verkoissa…
Petyan tapaan Bad Rabbitilla on tehokas kikka hihassaan, sillä se sisältää SMB-komponentin, jonka avulla se voi liikkua sivusuunnassa tartunnan saaneessa verkossa ja levitä ilman käyttäjän vuorovaikutusta, kertovat Ciscon Talos-tutkimuslaitoksen tutkijat.
Bad Rabbitin leviämiskykyä auttaa lista yksinkertaisista käyttäjätunnus- ja salasanayhdistelmistä, joita se voi käyttää hyväkseen päästäkseen väkivaltaa käyttäen verkoissa. Heikkojen salasanojen lista koostuu useista heikkojen salasanojen tavallisista epäillyistä, kuten yksinkertaisista numeroyhdistelmistä ja ”salasanasta”.
6. … mutta se ei käytä EternalBluea
Kun Bad Rabbit ilmaantui ensimmäisen kerran, jotkut ehdottivat, että WannaCryn tapaan se käytti EternalBlue-hyökkäyskäyttökohtaa leviämiseen. Nyt näin ei kuitenkaan näytä olevan.
”Meillä ei ole tällä hetkellä todisteita siitä, että EternalBlue-hyökkäystä hyödynnettäisiin tartunnan levittämiseen”, Talosin tietoturvatutkimuksen tekninen johtaja Martin Lee kertoi ZDNetille.
7. Se ei ehkä ole umpimähkäinen
Samaan aikaan WannaCry:n puhkeamisen jälkeen satojatuhansia järjestelmiä eri puolilla maapalloa oli jo langennut lunnasohjelmien uhreiksi. Bad Rabbit ei kuitenkaan näytä tartuttavan kohteita umpimähkään, vaan tutkijat ovat esittäneet, että se tartuttaa vain valikoituja kohteita.
”Havaintomme viittaavat siihen, että kyseessä on ollut kohdennettu hyökkäys yritysverkkoja vastaan”, kertoivat Kaspersky Labin tutkijat.
Samaan aikaan ESET:n tutkijat sanovat, että tartunnan saaneisiin verkkosivuihin ruiskutetun skriptin ohjeet ”voivat määrittää, onko kävijä kiinnostava, ja sitten lisätä sisältöä sivulle”, jos kohde katsotaan sopivaksi tartuntaan.
Tässä vaiheessa ei kuitenkaan ole mitään ilmeistä syytä siihen, miksi mediaorganisaatioita ja infrastruktuuria Venäjällä ja Ukrainassa on nimenomaan kohdennettu tähän hyökkäykseen.
8. Johtopäätökset. Ei ole selvää, kuka on takana
Tällä hetkellä ei vielä tiedetä, kuka tai miksi lunnasohjelmaa levitetään, mutta samankaltaisuus Petyan kanssa on saanut jotkut tutkijat ehdottamaan, että Bad Rabbit on saman hyökkäysryhmän tekemä – tosin sekään ei auta tunnistamaan hyökkääjää tai motiivia, sillä kesäkuun epidemian tekijää ei ole koskaan tunnistettu.
Hyökkäys erottuu edukseen siinä, että se on tartuttanut ensisijaisesti Venäjää – itäeurooppalaisilla verkkorikollisjärjestöillä on tapana välttää hyökkäämistä ”emämaahan”, mikä viittaa siihen, että kyseessä ei todennäköisesti ole venäläinen ryhmä.
9. Se sisältää Game of Thrones -viittauksia
Kuka ikinä onkin Bad Rabbitin takana, se näyttää olevan Game of Thronesin fani: koodi sisältää viittauksia Viserioniin, Drogoniin ja Rhaegaliin, lohikäärmeisiin, jotka esiintyvät televisiosarjassa ja sen perustana olevissa romaaneissa. Koodin laatijat eivät siis tee paljoakaan muuttaakseen stereotyyppistä kuvaa siitä, että hakkerit ovat nörttejä ja nörttejä.
Koodissa on viittauksia Game of Thronesin lohikäärmeisiin.
Kuva: Kaspersky Lab
10. Voit suojautua tartunnalta
Tässä vaiheessa ei tiedetä, voiko Bad Rabbitin lukitsemien tiedostojen salauksen purkaa antamatta periksi ja maksamatta lunnaita – tosin tutkijat sanovat, että uhriksi joutuneiden ei kannata maksaa maksua, sillä se vain rohkaisee lunnasohjelmien kasvua.
Useat tietoturvatoimittajat sanovat, että heidän tuotteensa suojaavat Bad Rabbitilta. Mutta niille, jotka haluavat olla varmoja, etteivät he mahdollisesti joudu hyökkäyksen uhriksi, Kaspersky Lab sanoo, että käyttäjät voivat estää tiedoston ’c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.’ tartunnan estämiseksi.
Previous coverage
Bad Rabbit ransomware: Petyan uusi variantti leviää, varoittavat tutkijat
Päivitetty:
LUE LISÄÄ RANSOMWAREISTA
- WannaCryn jälkeen lunnasohjelmat pahenevat ennen kuin paranevat
- Ransomware: 6 vinkkiä lunnasohjelmien välttämiseen Petyan ja WannaCryn jälkeen (TechRepublic)
- Epäonnistumisesi kriittisten kyberturvapäivitysten soveltamisessa vaarantaa yrityksesi seuraavan WannaCryn tai Petyan
- Miten suojautua WannaCry-lunnasohjelmalta (CNET)