O nouă campanie de ransomware a lovit o serie de ținte de profil înalt din Rusia și Europa de Est.
Supranumit Bad Rabbit, ransomware-ul a început să infecteze sistemele marți, 24 octombrie, iar modul în care organizațiile par să fi fost lovite simultan a atras imediat comparații cu epidemiile WannaCry și Petya din acest an.
În urma epidemiei inițiale, a existat o oarecare confuzie cu privire la ce anume este Bad Rabbit. Cu toate acestea, acum că panica inițială s-a liniștit, este posibil să săpăm în profunzime pentru a afla ce anume se întâmplă.
1. Atacul cibernetic a lovit organizații din Rusia și Europa de Est
Organizații din Rusia și Ucraina – precum și un număr mic din Germania, și Turcia – au căzut victime ale ransomware-ului. Cercetătorii de la Avast spun că au detectat malware-ul și în Polonia și Coreea de Sud.
Compania rusă de securitate cibernetică Group-IB a confirmat că cel puțin trei organizații media din țară au fost lovite de malware-ul de criptare a fișierelor, în timp ce, în același timp, agenția rusă de știri Interfax a declarat că sistemele sale au fost afectate de un „atac al hackerilor” – și au fost aparent scoase din funcțiune în urma incidentului.
Alte organizații din regiune, inclusiv Aeroportul Internațional Odessa și metroul din Kiev, au făcut, de asemenea, declarații cu privire la faptul că au căzut victime ale unui atac cibernetic, în timp ce CERT-UA, Computer Emergency Response Team of Ukraine, a postat, de asemenea, că a avut loc „posibilul început al unui nou val de atacuri cibernetice asupra resurselor informaționale ale Ucrainei”, în timp ce au început să sosească rapoarte de infecții cu Bad Rabbit.
La momentul redactării acestui articol, se crede că există aproape 200 de ținte infectate și care indică faptul că acesta nu este un atac așa cum a fost WannaCry sau Petya – dar continuă să cauzeze probleme pentru organizațiile infectate.
„Prevalența totală a eșantioanelor cunoscute este destul de scăzută în comparație cu celelalte tulpini „comune””, a declarat Jakub Kroustek, analist de malware la Avast.
2. Este cu siguranță un ransomware
Cei care au fost suficient de nefericiți să cadă victime ale atacului și-au dat seama rapid ce s-a întâmplat, deoarece ransomware-ul nu este subtil – prezintă victimelor o notă de răscumpărare care le spune că fișierele lor „nu mai sunt accesibile” și că „nimeni nu le va putea recupera fără serviciul nostru de decriptare”.
Nota de răscumpărare a lui Bad Rabbit.
Imagine: ESET
Victimele sunt direcționate către o pagină de plată Tor și li se prezintă un cronometru cu numărătoare inversă. Plătiți în primele 40 de ore sau cam așa ceva, li se spune, iar plata pentru decriptarea fișierelor este de 0,05 bitcoin – aproximativ 285 de dolari. Cei care nu plătesc răscumpărarea înainte ca cronometrul să ajungă la zero sunt anunțați că taxa va crește și că vor trebui să plătească mai mult.
Pagina de plată a lui Bad Rabbit.
Imagine: Kaspersky Lab
Criptarea folosește DiskCryptor, care este un software legitim și open source utilizat pentru criptarea completă a unităților. Cheile sunt generate cu CryptGenRandom și apoi protejate de o cheie publică RSA 2048 codificată în mod greșit.
3. Se bazează pe Petya/Not Petya
Dacă nota de răscumpărare pare cunoscută, asta pentru că este aproape identică cu cea pe care au văzut-o victimele epidemiei Petya din iunie. Asemănările nu sunt doar cosmetice – Bad Rabbit împărtășește elemente din spatele scenei și cu Petya.
Analiza efectuată de cercetătorii de la Crowdstrike a descoperit că DLL (dynamic link library) a lui Bad Rabbit și NotPetya împart 67% din același cod, ceea ce indică faptul că cele două variante de ransomware sunt strâns legate, putând fi chiar opera aceluiași actor de amenințări.
4. Se răspândește prin intermediul unei false actualizări Flash pe site-uri web compromise
Principalul mod în care se răspândește Bad Rabbit este reprezentat de descărcările drive-by pe site-uri web piratate. Nu sunt folosite exploatări, ci mai degrabă vizitatorilor site-urilor web compromise – dintre care unele au fost compromise începând cu luna iunie – li se spune că trebuie să instaleze o actualizare Flash. Desigur, aceasta nu este o actualizare Flash, ci un dropper pentru instalarea malițioasă.
Un site web compromis care cere unui utilizator să instaleze o actualizare Flash falsă care distribuie Bad Rabbit.
Imagine: ESET
Site-urile web infectate – majoritatea cu sediul în Rusia, Bulgaria și Turcia – sunt compromise prin injectarea de JavaScript în corpul lor HTML sau într-unul dintre fișierele .js.
5. Se poate răspândi lateral prin rețele…
La fel ca Petya, Bad Rabbit vine cu un truc puternic în mânecă, deoarece conține o componentă SMB care îi permite să se deplaseze lateral printr-o rețea infectată și să se propage fără interacțiunea utilizatorului, spun cercetătorii de la Cisco Talos.
Ceea ce ajută la capacitatea de răspândire a lui Bad Rabbit este o listă de combinații simple de nume de utilizator și parolă pe care le poate exploata pentru a-și croi drum prin forță brută prin rețele. Lista de parole slabe este formată dintr-un număr de suspecți obișnuiți pentru parole slabe, cum ar fi combinații simple de numere și „parola”.
6. … dar nu folosește EternalBlue
Când Bad Rabbit a apărut pentru prima dată, unii au sugerat că, la fel ca WannaCry, a exploatat EternalBlue pentru a se răspândi. Cu toate acestea, acum acest lucru nu pare să fie cazul.
„În prezent, nu avem nicio dovadă că exploit-ul EternalBlue este utilizat pentru a răspândi infecția”, a declarat Martin Lee, Technical Lead for Security Research la Talos pentru ZDNet.
7. S-ar putea să nu fie nediscriminatoriu
În același moment, după izbucnirea WannaCry, sute de mii de sisteme din întreaga lume au căzut victime ale ransomware-ului. Cu toate acestea, Bad Rabbit nu pare să infecteze fără discriminare țintele, mai degrabă cercetătorii au sugerat că infectează doar ținte selectate.
„Observațiile noastre sugerează că acesta a fost un atac țintit împotriva rețelelor corporative”, au declarat cercetătorii Kaspersky Lab.
Între timp, cercetătorii de la ESET spun că instrucțiunile din scriptul injectat în site-urile web infectate „pot determina dacă vizitatorul prezintă interes și apoi adaugă conținut la pagină” dacă ținta este considerată potrivită pentru infectare.
Cu toate acestea, în acest stadiu, nu există niciun motiv evident pentru care organizațiile media și infrastructura din Rusia și Ucraina au fost vizate în mod special în acest atac.
8. Nu este clar cine se află în spatele lui
În acest moment, încă nu se știe cine distribuie ransomware-ul sau de ce, dar asemănarea cu Petya i-a determinat pe unii cercetători să sugereze că Bad Rabbit este al aceluiași grup de atac – deși acest lucru nu ajută la identificarea atacatorului sau a motivului, deoarece autorul epidemiei din iunie nu a fost niciodată identificat.
Ceea ce caracterizează acest atac este modul în care a infectat în primul rând Rusia – organizațiile de infractori cibernetici din Europa de Est au tendința de a evita să atace „patria mamă”, ceea ce indică faptul că este puțin probabil ca acesta să fie un grup rusesc.
9. Conține referințe la Game of Thrones
Cine se află în spatele lui Bad Rabbit, pare a fi un fan al Game of Thrones: codul conține referințe la Viserion, Drogon și Rhaegal, dragoni care apar în serialul de televiziune și în romanele pe care se bazează. Prin urmare, autorii codului nu fac prea multe pentru a schimba imaginea stereotipică potrivit căreia hackerii sunt tocilari și tocilari.
Referințe la dragoni din Game of Thrones în cod.
Imaginea: Kaspersky Lab
10. Vă puteți proteja pentru a nu fi infectat de acesta
În acest stadiu, nu se știe dacă este posibilă decriptarea fișierelor blocate de Bad Rabbit fără a ceda și a plăti răscumpărarea – deși cercetătorii spun că cei care cad victime nu ar trebui să plătească taxa, deoarece aceasta nu va face decât să încurajeze creșterea ransomware-ului.
Un număr de furnizori de securitate spun că produsele lor protejează împotriva Bad Rabbit. Dar pentru cei care vor să fie siguri că nu vor cădea potențial victime ale atacului, Kaspersky Lab spune că utilizatorii pot bloca executarea fișierului ‘c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.’, pentru a preveni infectarea.
Cuprins anterior
Bad Rabbit ransomware: O nouă variantă a Petya se răspândește, avertizează cercetătorii
Updated: Organizații din Rusia, Ucraina și alte țări au căzut victime a ceea ce se crede a fi o nouă variantă de ransomware.
CITEȘTE MAI MULT DESPRE RANSOMWARE
- După WannaCry, ransomware-ul se va înrăutăți înainte de a se îmbunătăți
- Ransomware: Un ghid executiv pentru una dintre cele mai mari amenințări de pe web
- 6 sfaturi pentru a evita ransomware-ul după Petya și WannaCry (TechRepublic)
- Neaplicarea de către dvs. a actualizărilor critice de securitate cibernetică vă pune compania în pericol de următorul WannaCry sau Petya
- Cum să vă protejați de ransomware-ul WannaCry (CNET)