Nowa kampania ransomware uderzyła w wiele ważnych celów w Rosji i Europie Wschodniej.
Nazwane Bad Rabbit, ransomware po raz pierwszy zaczęło infekować systemy we wtorek 24 października, a sposób, w jaki organizacje wydają się być dotknięte jednocześnie, natychmiast przyniósł porównania do tegorocznych epidemii WannaCry i Petya.
Po początkowym wybuchu epidemii, było trochę zamieszania co do tego, czym dokładnie jest Bad Rabbit. Jednak teraz, gdy początkowa panika już opadła, można dowiedzieć się, co dokładnie się dzieje.
1. Cyberatak uderzył w organizacje w całej Rosji i Europie Wschodniej
Organizacje w całej Rosji i na Ukrainie – jak również niewielka liczba w Niemczech i Turcji – padły ofiarą oprogramowania ransomware. Badacze z firmy Avast twierdzą, że wykryli to złośliwe oprogramowanie również w Polsce i Korei Południowej.
Rosyjska firma zajmująca się bezpieczeństwem cybernetycznym Group-IB potwierdziła, że co najmniej trzy organizacje medialne w tym kraju zostały zaatakowane przez złośliwe oprogramowanie szyfrujące pliki, podczas gdy w tym samym czasie rosyjska agencja informacyjna Interfax stwierdziła, że jej systemy zostały dotknięte „atakiem hakerów” i najwyraźniej zostały wyłączone przez ten incydent.
Inne organizacje w regionie, w tym Międzynarodowy Port Lotniczy w Odessie i Metro w Kijowie również wydały oświadczenia o padnięciu ofiarą cyberataku, podczas gdy CERT-UA, Zespół Reagowania na Incydenty Komputerowe Ukrainy, również zamieścił informację, że „możliwy początek nowej fali cyberataków na zasoby informacyjne Ukrainy” miał miejsce, ponieważ zaczęły napływać raporty o infekcjach Bad Rabbit.
W momencie pisania tego tekstu, uważa się, że jest prawie 200 zainfekowanych celów, co wskazuje, że nie jest to atak taki jak WannaCry czy Petya – ale nadal powoduje problemy dla zainfekowanych organizacji.
„Całkowita przewaga znanych próbek jest dość niska w porównaniu z innymi „powszechnymi” szczepami” – powiedział Jakub Kroustek, analityk złośliwego oprogramowania w Avast.
2. To zdecydowanie ransomware
Ci, którzy niefortunnie padli ofiarą ataku, szybko zorientowali się, co się stało, ponieważ ransomware nie jest subtelne — przedstawia ofiarom notatkę z żądaniem okupu informującą, że ich pliki „nie są już dostępne” i „nikt nie będzie w stanie ich odzyskać bez naszej usługi deszyfrowania”.
Ofiary są kierowane na stronę płatności Tor i prezentowany jest im licznik odliczający czas. Płacą w ciągu pierwszych 40 godzin, a zapłata za odszyfrowanie plików wynosi 0,05 bitcoina, czyli około 285 dolarów. Ci, którzy nie zapłacą okupu zanim licznik dojdzie do zera, otrzymują informację, że opłata wzrośnie i będą musieli zapłacić więcej.
Szyfrowanie wykorzystuje DiskCryptor, który jest legalnym oprogramowaniem open source wykorzystywanym do pełnego szyfrowania dysków. Klucze są generowane przy użyciu CryptGenRandom, a następnie chronione przez twardo zakodowany klucz publiczny RSA 2048.
3. Jest oparty na Petya/Not Petya
Jeśli informacja o okupie wygląda znajomo, to dlatego, że jest niemal identyczna z tą, którą widziały ofiary czerwcowej epidemii Petya. Podobieństwa nie są tylko kosmetyczne – Bad Rabbit dzieli z Petya również elementy zakulisowe.
Analiza przeprowadzona przez badaczy z Crowdstrike wykazała, że DLL (biblioteka dynamicznych linków) Bad Rabbit i NotPetya mają 67% tego samego kodu, co wskazuje, że te dwa warianty ransomware są blisko spokrewnione, a potencjalnie nawet są dziełem tego samego aktora.
4. Rozprzestrzenia się za pośrednictwem fałszywej aktualizacji Flash na zaatakowanych stronach internetowych
Głównym sposobem rozprzestrzeniania się Bad Rabbit jest pobieranie plików drive-by na zhakowanych stronach internetowych. Nie są wykorzystywane żadne exploity, raczej odwiedzający zagrożone strony internetowe – niektóre z nich są zagrożone od czerwca – są informowani, że muszą zainstalować aktualizację Flasha. Oczywiście, nie jest to żadna aktualizacja Flasha, ale dropper dla złośliwej instalacji.
Zainfekowane strony internetowe — głównie z siedzibą w Rosji, Bułgarii i Turcji — są zagrożone poprzez wstrzyknięcie JavaScript do ich ciała HTML lub do jednego z ich plików .js.
5. Potrafi rozprzestrzeniać się na boki w sieciach…
Podobnie jak Petya, Bad Rabbit posiada potężną sztuczkę w rękawie, ponieważ zawiera komponent SMB, który pozwala mu na przemieszczanie się na boki w zainfekowanej sieci i rozprzestrzenianie się bez interakcji z użytkownikiem, twierdzą badacze z Cisco Talos.
To, co wspomaga zdolność Bad Rabbita do rozprzestrzeniania się, to lista prostych kombinacji nazw użytkowników i haseł, które może wykorzystać do brute-force’owania się w sieciach. Lista słabych haseł składa się z wielu typowych podejrzanych słabych haseł, takich jak proste kombinacje liczb i 'password’.
6. … ale nie wykorzystuje EternalBlue
Kiedy Bad Rabbit pojawił się po raz pierwszy, niektórzy sugerowali, że podobnie jak WannaCry, wykorzystuje on exploita EternalBlue do rozprzestrzeniania się. Jednak teraz wydaje się, że tak nie jest.
„Obecnie nie mamy żadnych dowodów na to, że exploit EternalBlue jest wykorzystywany do rozprzestrzeniania infekcji” – Martin Lee, Technical Lead for Security Research w Talos powiedział ZDNet.
7. Może nie być masowy
W tym samym momencie po wybuchu epidemii WannaCry, setki tysięcy systemów na całym świecie padło ofiarą ransomware. Jednak Bad Rabbit nie wydaje się masowo infekować celów, a raczej badacze zasugerowali, że infekuje tylko wybrane cele.
„Nasze obserwacje sugerują, że był to ukierunkowany atak na sieci korporacyjne” – powiedzieli badacze z Kaspersky Lab.
Tymczasem badacze z firmy ESET twierdzą, że instrukcje zawarte w skrypcie wstrzykiwanym do zainfekowanych stron internetowych „mogą określić, czy odwiedzający jest obiektem zainteresowania, a następnie dodać treść do strony”, jeśli cel zostanie uznany za odpowiedni do infekcji.
Jednak na tym etapie nie ma oczywistego powodu, dla którego organizacje medialne oraz infrastruktura w Rosji i na Ukrainie zostały konkretnie zaatakowane.
8. Nie jest jasne, kto za tym stoi
W tym momencie nadal nie wiadomo, kto rozprowadza ransomware i dlaczego, ale podobieństwo do Petya doprowadziło niektórych badaczy do zasugerowania, że Bad Rabbit jest przez tę samą grupę atakującą — chociaż to również nie pomaga zidentyfikować atakującego lub motywu, ponieważ sprawca czerwcowej epidemii nigdy nie został zidentyfikowany.
To, co wyróżnia ten atak, to sposób, w jaki zainfekował przede wszystkim Rosję – organizacje cyberprzestępcze z Europy Wschodniej zwykle unikają atakowania „ojczyzny”, co wskazuje, że jest mało prawdopodobne, aby była to grupa rosyjska.
9. Zawiera odniesienia do Gry o Tron
Ktokolwiek stoi za Bad Rabbit, wydaje się być fanem Gry o Tron: kod zawiera odniesienia do Viseriona, Drogona i Rhaegala, smoków, które występują w serialu telewizyjnym i powieściach, na których jest oparty. Autorzy kodu nie robią więc wiele, by zmienić stereotypowy wizerunek hakerów jako geeków i nerdów.
10. Możesz uchronić się przed zainfekowaniem przez niego
Na tym etapie nie wiadomo, czy możliwe jest odszyfrowanie plików zablokowanych przez Bad Rabbit bez poddania się i zapłacenia okupu – chociaż badacze twierdzą, że ci, którzy padli ofiarą, nie powinni płacić, ponieważ to tylko zachęci do rozwoju oprogramowania ransomware.
Wielu producentów zabezpieczeń twierdzi, że ich produkty chronią przed Bad Rabbit. Jednak dla tych, którzy chcą mieć pewność, że nie padną ofiarą ataku, Kaspersky Lab twierdzi, że użytkownicy mogą zablokować wykonywanie pliku 'c: \ windows \ infpub.dat, C: \ windows \ cscc.dat.’, aby zapobiec infekcji.
Poprzednia relacja
Ransomware Bad Rabbit: Rozprzestrzenia się nowy wariant Petya, ostrzegają badacze
Uaktualnienie: Organizacje w Rosji, na Ukrainie i w innych krajach padły ofiarą tego, co uważa się za nowy wariant ransomware.
CZYTAJ WIĘCEJ O RANSOMWARE
- Po WannaCry, ransomware będzie gorzej, zanim będzie lepiej
- Ransomware: Przewodnik po jednym z największych zagrożeń w sieci
- 6 wskazówek, jak uniknąć ransomware po Petya i WannaCry (TechRepublic)
- Niestosowanie krytycznych aktualizacji cyberbezpieczeństwa naraża Twoją firmę na ryzyko kolejnego WannaCry lub Petya
- Jak chronić się przed ransomware WannaCry (CNET)