Egy új zsarolóprogram-kampány számos kiemelt célpontot érintett Oroszországban és Kelet-Európában.
A Bad Rabbit névre keresztelt zsarolóprogram először október 24-én, kedden kezdte megfertőzni a rendszereket, és az a mód, ahogyan a szervezeteket a jelek szerint egyszerre érte a támadás, azonnal összehasonlítást vont az idei WannaCry és Petya járványokkal.
A kezdeti járványt követően némi zavart okozott, hogy mi is pontosan a Bad Rabbit. Most azonban, hogy a kezdeti pánik lecsillapodott, lehetőség nyílik arra, hogy utánajárjunk annak, hogy pontosan miről is van szó.
1. A kibertámadás szervezeteket érintett Oroszországban és Kelet-Európában
A zsarolóvírusnak oroszországi és ukrajnai szervezetek – valamint kis számban Németországban és Törökországban – estek áldozatul. Az Avast kutatói szerint Lengyelországban és Dél-Koreában is észlelték a kártevőt.
A Group-IB orosz kiberbiztonsági vállalat megerősítette, hogy az országban legalább három médiaszervezetet érintett a fájlokat titkosító kártevő, ugyanakkor az Interfax orosz hírügynökség közölte, hogy rendszereit “hackertámadás” érte – és úgy tűnik, az incidens miatt offline állapotba kerültek.
A régió más szervezetei, köztük az odesszai nemzetközi repülőtér és a kijevi metró szintén arról nyilatkoztak, hogy kibertámadás áldozatává váltak, míg a CERT-UA, az ukrán számítógépes vészhelyzeti reagáló csoport szintén arról írt, hogy “az ukrán információs erőforrások elleni kibertámadások új hullámának lehetséges kezdete” következett be, mivel a Bad Rabbit fertőzésekről szóló jelentések kezdtek érkezni.
A cikk írásakor úgy vélik, hogy közel 200 fertőzött célpontról van szó, ami azt jelzi, hogy ez nem olyan támadás, mint a WannaCry vagy a Petya volt — de még mindig problémákat okoz a fertőzött szervezeteknek.
“Az ismert minták teljes elterjedtsége meglehetősen alacsony a többi “gyakori” törzshez képest” – mondta Jakub Kroustek, az Avast malware-elemzője.
2. “Az ismert minták teljes elterjedtsége meglehetősen alacsony a többi “gyakori” törzshez képest” – mondta Jakub Kroustek. Ez egyértelműen ransomware
Azok a szerencsétlenek, akik áldozatul estek a támadásnak, gyorsan rájöttek, hogy mi történt, mert a zsarolóprogram nem finomkodik – egy váltságdíjfizetési üzenetet mutat be az áldozatoknak, amelyben közli, hogy a fájljaik “többé nem elérhetők”, és “senki sem lesz képes helyreállítani őket a dekódolási szolgáltatásunk nélkül”.
Bad Rabbit váltságdíjfizetési üzenet.
Kép: ESET
Az áldozatokat egy Tor fizetési oldalra irányítják, és egy visszaszámláló időzítőt mutatnak nekik. Fizessenek az első 40 órán belül, mondják nekik, és a fájlok visszafejtéséért 0,05 bitcoin – körülbelül 285 dollár – lesz a fizetség. Azoknak, akik nem fizetik ki a váltságdíjat, mielőtt az időzítő elérné a nullát, azt mondják, hogy a díj emelkedni fog, és többet kell fizetniük.
Bad Rabbit fizetési oldal.
Kép: Kaspersky Lab
A titkosításhoz a DiskCryptor-t használják, amely nyílt forráskódú törvényes és a teljes meghajtó titkosítására használt szoftver. A kulcsokat a CryptGenRandom segítségével generálják, majd egy keményen kódolt RSA 2048-as nyilvános kulccsal védik.
3. A Petyán alapul/nem a Petyán
Ha a váltságdíjbekérő ismerősnek tűnik, az azért van, mert szinte teljesen megegyezik azzal, amit a júniusi Petya-járvány áldozatai láttak. A hasonlóságok nem csak kozmetikai jellegűek – a Bad Rabbit a színfalak mögötti elemeket is megosztja a Petyával.
A Crowdstrike kutatóinak elemzése szerint a Bad Rabbit és a NotPetya DLL (dinamikus linkkönyvtár) 67 százalékban azonos kódot tartalmaz, ami arra utal, hogy a két zsarolóvírusváltozat szoros kapcsolatban áll egymással, sőt, potenciálisan ugyanannak a fenyegetőnek a munkája.
4. Fertőzött webhelyeken hamis Flash-frissítéssel terjed
A Bad Rabbit terjedésének fő módja a feltört webhelyekről történő drive-by letöltés. Nem használnak exploitokat, inkább azt mondják a veszélyeztetett webhelyek látogatóinak – amelyek közül néhányat június óta veszélyeztetnek -, hogy telepíteniük kell egy Flash-frissítést. Természetesen ez nem Flash frissítés, hanem egy dropper a rosszindulatú telepítéshez.
Egy fertőzött weboldal arra kéri a felhasználót, hogy telepítsen egy hamis Flash frissítést, amely a Bad Rabbit-et terjeszti.
Kép: A fertőzött – főként oroszországi, bolgár és törökországi – weboldalakat úgy fertőzték meg, hogy JavaScriptet injektáltak a HTML-szövegükbe vagy az egyik .js fájljukba.
5. A fertőzött weboldalakat a HTML-szövegbe vagy az egyik .js fájlba. Oldalirányú terjedésre képes a hálózatokon keresztül…
A Petyához hasonlóan a Bad Rabbitnak is van egy hatékony trükk a tarsolyában: tartalmaz egy SMB komponenst, amely lehetővé teszi, hogy oldalirányú mozgást végezzen a fertőzött hálózaton keresztül, és felhasználói beavatkozás nélkül terjedjen – állítják a Cisco Talos kutatói.
A Bad Rabbit terjedési képességét segíti egy egyszerű felhasználónév-jelszó kombinációkból álló lista, amelyet kihasználva a hálózaton való erőszakos terjedésre képes. A gyenge jelszavak listája a gyenge jelszavak szokásos gyanúsítottjaiból áll, mint például az egyszerű számkombinációk és a “password”.
6. … de nem az EternalBlue-t használja
Amikor a Bad Rabbit először megjelent, egyesek azt feltételezték, hogy a WannaCry-hez hasonlóan az EternalBlue exploitot használja ki a terjedéshez. Most azonban úgy tűnik, ez nem így van.
“Jelenleg nincs bizonyítékunk arra, hogy az EternalBlue exploitot használnák a fertőzés terjedéséhez” – mondta Martin Lee, a Talos biztonsági kutatásokért felelős technikai vezetője a ZDNetnek.
7. Nem biztos, hogy válogatás nélkül terjed
A WannaCry járványt követő időpontban világszerte több százezer rendszer vált a zsarolóprogram áldozatává. Úgy tűnik azonban, hogy a Bad Rabbit nem válogatás nélkül fertőzi a célpontokat, hanem a kutatók szerint csak kiválasztott célpontokat fertőz meg.
“Megfigyeléseink arra utalnak, hogy ez egy célzott támadás volt a vállalati hálózatok ellen” – mondták a Kaspersky Lab kutatói.
Eközben az ESET kutatói szerint a fertőzött weboldalakba befecskendezett szkript utasításai “képesek meghatározni, hogy a látogató érdekli-e, majd tartalommal egészíti ki az oldalt”, ha a célpontot alkalmasnak ítélik a fertőzésre.
Egyelőre azonban nincs nyilvánvaló oka annak, hogy az oroszországi és ukrajnai médiaszervezeteket és infrastruktúrát miért célozták meg kifejezetten a támadás során.
Nyolc. Nem világos, hogy ki áll mögötte
Jelenleg még nem tudni, hogy ki és miért terjeszti a zsarolóvírust, de a Petyához való hasonlóság miatt egyes kutatók szerint a Bad Rabbit ugyanattól a támadócsoporttól származik — bár ez sem segít a támadó vagy az indíték azonosításában, mivel a júniusi járvány elkövetőjét nem sikerült azonosítani.
Ezt a támadást az különbözteti meg, hogy elsősorban Oroszországot fertőzte meg – a kelet-európai kiberbűnözői szervezetek általában kerülik az “anyaország” megtámadását, ami arra utal, hogy valószínűleg nem orosz csoportról van szó.
9. Game of Thrones-utalásokat tartalmaz
Bárki is áll a Bad Rabbit mögött, úgy tűnik, rajong a Game of Thrones-ért: a kód utalásokat tartalmaz Viserionra, Drogonra és Rhaegalra, a televíziós sorozatban és az alapjául szolgáló regényekben szereplő sárkányokra. A kód szerzői tehát nem sokat tesznek azért, hogy megváltoztassák azt a sztereotip képet, miszerint a hackerek stréberek és kockák.
Hivatkozások a Trónok harca sárkányaira a kódban.
Kép: Kaspersky Lab
10. Megvédheti magát az ellen, hogy megfertőződjön
Egyelőre nem tudni, hogy a Bad Rabbit által zárolt fájlok visszafejthetők-e anélkül, hogy beadná a derekát és kifizetné a váltságdíjat – bár a kutatók szerint azoknak, akik áldozatul esnek, nem szabad kifizetniük a díjat, mivel ezzel csak a zsarolóprogramok terjedését ösztönzik.
Számos biztonsági gyártó szerint termékeik védelmet nyújtanak a Bad Rabbit ellen. De azok számára, akik biztosak akarnak lenni abban, hogy nem válnak potenciálisan a támadás áldozatává, a Kaspersky Lab szerint a felhasználók blokkolhatják a ‘c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.’ a fertőzés megelőzése érdekében.
Előző cikk
Bad Rabbit ransomware: A Petya új változata terjed, figyelmeztetnek a kutatók
Frissítve:
OLVASSA TOVÁBB A RANSOMWARE-ról
- A WannaCry után a zsarolóvírusok még rosszabbak lesznek, mielőtt javulnának
- Ransomware: (TechRepublic)
- A kritikus kiberbiztonsági frissítések alkalmazásának elmulasztása veszélyezteti a vállalatát a következő WannaCry vagy Petya miatt
- Hogyan védekezhet a WannaCry zsarolóprogram ellen (CNET)