En ny utpressningstrojanerkampanj har drabbat ett antal högt uppsatta mål i Ryssland och Östeuropa.
Med namnet Bad Rabbit började utpressningstrojaner först att infektera system tisdagen den 24 oktober, och det sätt på vilket organisationer verkar ha drabbats samtidigt drog genast till sig jämförelser med årets WannaCry- och Petya-epidemier.
Efter det första utbrottet rådde viss förvirring om vad exakt Bad Rabbit är. Nu när den inledande paniken har lagt sig är det dock möjligt att gräva ner sig i vad som exakt pågår.
1. Cyberattacken har drabbat organisationer i hela Ryssland och Östeuropa
Organisationer i hela Ryssland och Ukraina – samt ett litet antal i Tyskland och Turkiet – har fallit offer för utpressningstrojaner. Forskare på Avast säger att de också har upptäckt skadlig kod i Polen och Sydkorea.
Det ryska cybersäkerhetsföretaget Group-IB bekräftade att minst tre medieorganisationer i landet har drabbats av filkrypterande skadlig kod, samtidigt som den ryska nyhetsbyrån Interfax sa att dess system har drabbats av en ”hackerattack” – och att de till synes har blivit offline av händelsen.
Andra organisationer i regionen, däribland Odessas internationella flygplats och tunnelbanan i Kiev, gjorde också uttalanden om att de fallit offer för en cyberattack, medan CERT-UA, Computer Emergency Response Team of Ukraine, också meddelade att ”den möjliga starten på en ny våg av cyberattacker mot Ukrainas informationsresurser” hade inträffat, då rapporter om Bad Rabbit-infektioner började komma in.
I skrivande stund tror man att det finns nästan 200 infekterade mål, vilket tyder på att detta inte är en attack som WannaCry eller Petya var – men det orsakar fortfarande problem för infekterade organisationer.
”Den totala förekomsten av kända prover är ganska låg jämfört med andra ”vanliga” stammar”, säger Jakub Kroustek, malware-analytiker på Avast.
2. Det är definitivt utpressningstrojaner
De som hade oturen att falla offer för attacken insåg snabbt vad som hade hänt eftersom utpressningstrojanerna inte är subtila – de presenterar offren med en lösensedel som talar om för dem att deras filer är ”inte längre tillgängliga” och att ”ingen kommer att kunna återskapa dem utan vår dekrypteringstjänst”.
Offer hänvisas till en Tor-betalningssida och presenteras med en nedräkningstimer. Betala inom de första 40 timmarna eller så, får de veta, och betalningen för att dekryptera filerna är 0,05 bitcoin – cirka 285 dollar. De som inte betalar lösensumman innan timern når noll får veta att avgiften kommer att höjas och att de måste betala mer.
Krypteringen använder DiskCryptor, som är en legitim öppen källkod och programvara som används för kryptering av hela enheter. Nycklarna genereras med hjälp av CryptGenRandom och skyddas sedan av en hårdkodad offentlig RSA 2048-nyckel.
3. Den är baserad på Petya/Not Petya
Om lösensumman ser bekant ut beror det på att den är nästan identisk med den som offren för Petya-utbrottet i juni fick se. Likheterna är inte bara kosmetiska heller – Bad Rabbit delar också element bakom kulisserna med Petya.
Analys av forskare vid Crowdstrike har visat att Bad Rabbit och NotPetyas DLL (dynamic link library) delar 67 procent av samma kod, vilket tyder på att de två varianterna av utpressningstrojaner är nära besläktade, och att de eventuellt till och med kan ha skapats av samma hotbildare.
4. Den sprids via en falsk Flash-uppdatering på komprometterade webbplatser
Det huvudsakliga sättet Bad Rabbit sprids på är drive-by downloads på hackade webbplatser. Inga exploateringar används, utan besökare på komprometterade webbplatser – varav en del har varit komprometterade sedan juni – får veta att de måste installera en Flash-uppdatering. Naturligtvis är detta ingen Flash-uppdatering, utan en dropper för den skadliga installationen.
De infekterade webbplatserna, som oftast är baserade i Ryssland, Bulgarien och Turkiet, är infekterade genom att JavaScript injiceras i deras HTML-text eller i en av deras .js-filer.
5. Den kan spridas i sidled över nätverk…
I likhet med Petya har Bad Rabbit ett kraftfullt trick i rockärmen, eftersom den innehåller en SMB-komponent som gör det möjligt för den att röra sig i sidled över ett infekterat nätverk och sprida sig utan användarinteraktion, säger forskare vid Cisco Talos.
Det som underlättar Bad Rabbits förmåga att sprida sig är en lista med enkla användarnamns- och lösenordskombinationer som den kan utnyttja för att med brutal kraft ta sig fram över nätverk. Listan över svaga lösenord består av ett antal vanliga misstänkta svaga lösenord, t.ex. enkla sifferkombinationer och ”password”.
6. … men den använder inte EternalBlue
När Bad Rabbit dök upp för första gången föreslog vissa att den, i likhet med WannaCry, skulle ha utnyttjat EternalBlue-exploateringen för att spridas. Detta verkar dock nu inte vara fallet.
”Vi har för närvarande inga bevis för att EternalBlue-exploiten utnyttjas för att sprida infektionen”, säger Martin Lee, Technical Lead for Security Research på Talos, till ZDNet.
7. Den kanske inte är urskillningslös
Vid samma tidpunkt efter WannaCry-utbrottet hade hundratusentals system runt om i världen fallit offer för utpressningstrojaner. Bad Rabbit verkar dock inte urskillningslöst infektera mål, utan forskare har snarare föreslagit att den endast infekterar utvalda mål.
”Våra observationer tyder på att detta varit en riktad attack mot företagsnätverk”, säger forskare från Kaspersky Lab.
Samtidigt säger forskare vid ESET att instruktioner i skriptet som injiceras i infekterade webbplatser ”kan avgöra om besökaren är av intresse och sedan lägga till innehåll på sidan” om målet anses vara lämpligt för infektion.
I det här skedet finns det dock ingen uppenbar anledning till varför medieorganisationer och infrastruktur i Ryssland och Ukraina har varit specifikt inriktade på den här attacken.
8. Det är oklart vem som ligger bakom
För närvarande är det fortfarande okänt vem som distribuerar utpressningstrojaner eller varför, men likheten med Petya har fått vissa forskare att föreslå att Bad Rabbit kommer från samma angreppsgrupp – även om det inte heller hjälper till att identifiera angriparen eller motivet, eftersom gärningsmannen bakom juni månads epidemi aldrig har identifierats.
Det som utmärker den här attacken är hur den främst har infekterat Ryssland – östeuropeiska cyberkriminella organisationer tenderar att undvika att attackera ”moderlandet”, vilket tyder på att det är osannolikt att detta är en rysk grupp.
9. Den innehåller Game of Thrones-referenser
Den som ligger bakom Bad Rabbit verkar vara ett fan av Game of Thrones: koden innehåller referenser till Viserion, Drogon och Rhaegal, de drakar som förekommer i tv-serien och de romaner som den är baserad på. Författarna till koden gör därför inte mycket för att ändra den stereotypa bilden av hackare som töntar och nördar.
10. Du kan skydda dig mot att bli infekterad av den
I det här skedet är det okänt om det är möjligt att dekryptera filer som är låsta av Bad Rabbit utan att ge upp och betala lösensumman – även om forskarna säger att de som faller offer inte bör betala avgiften, eftersom det bara uppmuntrar tillväxten av utpressningstrojaner.
Ett antal säkerhetsleverantörer säger att deras produkter skyddar mot Bad Rabbit. Men för dem som vill vara säkra på att de inte potentiellt faller offer för attacken säger Kaspersky Lab att användarna kan blockera exekveringen av filen ”c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.” för att förhindra infektion.
Previous coverage
Bad Rabbit ransomware: En ny variant av Petya sprider sig, varnar forskare
Uppdaterad: Organisationer i Ryssland, Ukraina och andra länder har fallit offer för vad som tros vara en ny variant av ransomware.
LÄS MER OM RANSOMWARE
- Efter WannaCry kommer ransomware att bli värre innan det blir bättre
- Ransomware: En guide till en av de största hoten på nätet
- 6 tips för att undvika ransomware efter Petya och WannaCry (TechRepublic)
- Ditt misslyckande med att tillämpa kritiska cybersäkerhetsuppdateringar gör att ditt företag riskerar att drabbas av nästa WannaCry eller Petya
- Så här kan du skydda dig mot WannaCry ransomware (CNET)