Een nieuwe ransomwarecampagne heeft een aantal prominente doelwitten in Rusland en Oost-Europa getroffen.
Onder de naam Bad Rabbit, begon de ransomware voor het eerst systemen te infecteren op dinsdag 24 oktober, en de manier waarop organisaties gelijktijdig lijken te zijn getroffen, trok onmiddellijk vergelijkingen met de WannaCry- en Petya-epidemieën van dit jaar.
Na de eerste uitbraak was er enige verwarring over wat Bad Rabbit precies is. Nu de aanvankelijke paniek is weggeëbd, is het echter mogelijk om dieper in te gaan op wat er precies aan de hand is.
1. De cyberaanval heeft organisaties in heel Rusland en Oost-Europa getroffen
Organisaties in heel Rusland en Oekraïne – evenals een klein aantal in Duitsland en Turkije – zijn het slachtoffer geworden van de ransomware. Onderzoekers van Avast zeggen dat ze de malware ook hebben gedetecteerd in Polen en Zuid-Korea.
Het Russische cyberbeveiligingsbedrijf Group-IB bevestigde dat ten minste drie mediaorganisaties in het land zijn getroffen door file-encrypting malware, terwijl op hetzelfde moment het Russische persbureau Interfax zei dat zijn systemen zijn getroffen door een “hackeraanval” – en schijnbaar offline zijn gehaald door het incident.
Andere organisaties in de regio, waaronder Odessa International Airport en de metro van Kiev, legden ook verklaringen af over het slachtoffer worden van een cyberaanval, terwijl CERT-UA, het Computer Emergency Response Team van Oekraïne, ook berichtte dat het “mogelijke begin van een nieuwe golf van cyberaanvallen op de informatiebronnen van Oekraïne” had plaatsgevonden, toen meldingen van Bad Rabbit-infecties begonnen binnen te komen.
Op het moment van schrijven wordt gedacht dat er bijna 200 geïnfecteerde doelwitten zijn, wat aangeeft dat dit geen aanval is zoals WannaCry of Petya was — maar het veroorzaakt nog steeds problemen voor geïnfecteerde organisaties.
“De totale prevalentie van bekende monsters is vrij laag in vergelijking met de andere “gemeenschappelijke” stammen,” zei Jakub Kroustek, malware-analist bij Avast.
2. Het is zeker ransomware
Degenen die ongelukkig genoeg waren om slachtoffer te worden van de aanval, hadden snel door wat er was gebeurd, omdat de ransomware niet subtiel is — het presenteert slachtoffers met een losgeldbrief die hen vertelt dat hun bestanden “niet langer toegankelijk” zijn en “niemand zal in staat zijn om ze te herstellen zonder onze decryptieservice”.
Bad Rabbit losgeldbrief.
Afbeelding: ESET
Slachtoffers worden doorgestuurd naar een Tor-betaalpagina en krijgen een aftellende timer te zien. Betaal binnen de eerste 40 uur, zo wordt hen verteld, en de betaling voor het ontsleutelen van bestanden is 0,05 bitcoin — ongeveer 285 dollar. Wie het losgeld niet betaalt voordat de timer op nul staat, krijgt te horen dat het bedrag hoger wordt en dat hij meer zal moeten betalen.
Bad Rabbit-betaalpagina.
Afbeelding: Kaspersky Lab
Voor de versleuteling wordt gebruikgemaakt van DiskCryptor, een open-source legitimatie en software die wordt gebruikt voor volledige schijfversleuteling. De sleutels worden gegenereerd met CryptGenRandom en vervolgens beschermd door een hard gecodeerde RSA 2048 publieke sleutel.
3. Het is gebaseerd op Petya/Niet Petya
Als het losgeldbriefje bekend voorkomt, komt dat omdat het bijna identiek is aan het briefje dat slachtoffers van de Petya-uitbraak in juni zagen. De overeenkomsten zijn ook niet alleen cosmetisch – Bad Rabbit deelt ook achter de schermen elementen met Petya.
Analyse door onderzoekers van Crowdstrike heeft ontdekt dat Bad Rabbit en NotPetya’s DLL (dynamic link library) 67 procent van dezelfde code delen, wat aangeeft dat de twee ransomware-varianten nauw verwant zijn, mogelijk zelfs het werk van dezelfde dreigingsactor.
4. Het verspreidt zich via een valse Flash-update op gecompromitteerde websites
De belangrijkste manier waarop Bad Rabbit zich verspreidt, zijn drive-by downloads op gehackte websites. Er worden geen exploits gebruikt, maar bezoekers van gehackte websites — waarvan sommige al sinds juni gecompromitteerd zijn — krijgen te horen dat ze een Flash update moeten installeren. Uiteraard is dit geen Flash-update, maar een dropper voor de kwaadaardige installatie.
Een gecompromitteerde website die een gebruiker vraagt om een nep-Flash-update te installeren die Bad Rabbit distribueert.
Afbeelding: ESET
Geïnfecteerde websites — meestal gevestigd in Rusland, Bulgarije en Turkije — worden gecompromitteerd doordat JavaScript wordt geïnjecteerd in hun HTML-lichaam of in een van hun .js-bestanden.
5. Het kan zich zijdelings over netwerken verspreiden…
Net als Petya heeft Bad Rabbit een krachtige truc achter de hand: het bevat een SMB-component waarmee het zich zijdelings over een geïnfecteerd netwerk kan verplaatsen en zich zonder interactie van de gebruiker kan verspreiden, zeggen onderzoekers van Cisco Talos.
Wat Bad Rabbit helpt bij zijn vermogen om zich te verspreiden, is een lijst met eenvoudige gebruikersnaam- en wachtwoordcombinaties die het kan misbruiken om zich een weg door netwerken te banen. De zwakke wachtwoorden lijst bestaat uit een aantal van de gebruikelijke verdachten voor zwakke wachtwoorden, zoals eenvoudige cijfercombinaties en ‘wachtwoord’.
6. … maar het maakt geen gebruik van EternalBlue
Toen Bad Rabbit voor het eerst verscheen, suggereerden sommigen dat het, net als WannaCry, gebruik maakte van de EternalBlue exploit om zich te verspreiden. Dit lijkt nu echter niet het geval te zijn.
“We hebben momenteel geen bewijs dat de EternalBlue exploit wordt gebruikt om de infectie te verspreiden,” vertelde Martin Lee, Technical Lead for Security Research bij Talos aan ZDNet.
7. Het is misschien niet willekeurig
Op hetzelfde moment na de WannaCry-uitbraak waren honderdduizenden systemen over de hele wereld het slachtoffer geworden van ransomware. Bad Rabbit lijkt echter niet lukraak doelwitten te infecteren, maar onderzoekers hebben gesuggereerd dat het alleen geselecteerde doelwitten infecteert.
“Onze observaties suggereren dat dit een gerichte aanval tegen bedrijfsnetwerken is geweest,” zeiden onderzoekers van Kaspersky Lab.
Ondertussen zeggen onderzoekers van ESET dat instructies in het script dat in geïnfecteerde websites wordt geïnjecteerd “kan bepalen of de bezoeker interessant is en vervolgens inhoud aan de pagina kan toevoegen” als het doelwit geschikt wordt geacht voor infectie.
In dit stadium is er echter geen duidelijke reden waarom mediaorganisaties en infrastructuur in Rusland en Oekraïne specifiek het doelwit zijn geweest van deze aanval.
8. Het is niet duidelijk wie erachter zit
Op dit moment is het nog steeds onbekend wie de ransomware verspreidt of waarom, maar de gelijkenis met Petya heeft sommige onderzoekers ertoe gebracht te suggereren dat Bad Rabbit van dezelfde aanvalsgroep is — hoewel dat ook niet helpt bij het identificeren van de aanvaller of het motief, omdat de dader van juni’s epidemie nooit is geïdentificeerd.
Wat deze aanval onderscheidt, is de manier waarop het voornamelijk Rusland heeft geïnfecteerd – Oost-Europese cybercriminele organisaties hebben de neiging om aanvallen op het ‘moederland’ te vermijden, wat aangeeft dat dit waarschijnlijk geen Russische groep is.
9. Het bevat Game of Thrones-referenties
Wie er ook achter Bad Rabbit zit, ze lijken een fan te zijn van Game of Thrones: de code bevat verwijzingen naar Viserion, Drogon en Rhaegal, de draken die voorkomen in de televisieserie en de romans waarop het is gebaseerd. De auteurs van de code doen dus niet veel om het stereotiepe beeld van hackers als nerds en nerds te veranderen.
Referenties naar Game of Thrones-draken in de code.
Afbeelding: Kaspersky Lab
10. U kunt uzelf beschermen tegen infectie
Op dit moment is het onbekend of het mogelijk is om door Bad Rabbit vergrendelde bestanden te ontsleutelen zonder toe te geven en het losgeld te betalen – hoewel onderzoekers zeggen dat degenen die het slachtoffer worden, de vergoeding niet moeten betalen, omdat dit de groei van ransomware alleen maar zal stimuleren.
Een aantal beveiligingsleveranciers zegt dat hun producten bescherming bieden tegen Bad Rabbit. Maar voor degenen die er zeker van willen zijn dat ze niet mogelijk slachtoffer worden van de aanval, zegt Kaspersky Lab dat gebruikers de uitvoering van het bestand ‘c: \ Windows infpub.dat, C: Windows cscc.dat.’ om infectie te voorkomen.
Vorige berichtgeving
Bad Rabbit ransomware: Een nieuwe variant van Petya verspreidt zich, waarschuwen onderzoekers
Updated: Organisaties in Rusland, Oekraïne en andere landen zijn het slachtoffer geworden van wat wordt verondersteld een nieuwe variant van ransomware te zijn.
LEES MEER OVER RANSOMWARE
- Na WannaCry zal ransomware erger worden voordat het beter wordt
- Ransomware: Een uitvoerende gids voor een van de grootste bedreigingen op het web
- 6 tips om ransomware na Petya en WannaCry te vermijden (TechRepublic)
- Het niet toepassen van kritieke cyberbeveiligingsupdates brengt uw bedrijf in gevaar van de volgende WannaCry of Petya
- Hoe uzelf te beschermen tegen WannaCry ransomware (CNET)