Articles /

Bad Rabbit Ransomware

Bad Rabbit se poprvé objevil v říjnu 2017 a zaútočil na organizace v Rusku, na Ukrajině a v USA útokem, který je v podstatě novým a vylepšeným ransomwarem NotPetya. Ukrajinské úřady připisují Bad Rabbit skupině Black Energy, která podle nich rovněž stojí za hrozbou NotPetya. Mnozí bezpečnostní experti se domnívají, že Black Energy působí v zájmu a pod vedením ruské vlády. Útok netrval dlouho, což naznačuje, že jej správci sami vypnuli.

Útok začal prostřednictvím souborů na hacknutých webových stránkách ruských médií s využitím oblíbeného triku sociálního inženýrství, kdy se předstírá, že jde o instalační program Adobe Flash. Ransomware požaduje platbu ve výši 0,05 bitcoinu, tedy asi 275 dolarů, a dává obětem 40 hodin na zaplacení, než se výkupné zvýší.

bad-rabbit-ransomware-diskcoder

Jedná se v podstatě o NotPetya v2.0 s výraznými vylepšeními oproti předchozí verzi. Bad Rabbit má mnoho prvků překrývajících se s kódem Petya/NotPetya, takže můžeme s vysokou mírou jistoty předpokládat, že za útokem stojí stejní autoři. Svůj škodlivý payload se snažili sestavit také s využitím ukradených prvků, nicméně ukradené jádro Petya bylo nahrazeno pokročilejším diskovým šifrovačem v podobě legitimního ovladače.

V této aktuální kampani se zdá, že zašifrovaná data lze po zaplacení výkupného obnovit, což znamená, že tento útok BadRabbit není tak destruktivní jako NotPetya. Bylo opraveno mnoho chyb v procesu šifrování souborů.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit nejprve zašifruje soubory v počítači uživatele a poté nahradí MBR (Master Boot Record). To znamená, že je třeba zakoupit dva klíče, jeden pro zavaděč a druhý pro samotné soubory. Tím se počítač v podstatě zablokuje. Více technických podkladů najdete na adrese bleepingcomputer.

Jak naočkovat počítač, pokud váš koncový software neblokuje Bad Rabbit

  • Zablokujte spuštění souborů c:\windows\infpub.dat a c:\Windows\cscc.dat.
  • Zakázat službu WMI (pokud je to ve vašem prostředí možné), aby se malware nešířil po síti.

Pokud spěcháte, zde najdete podrobné pokyny.

Přibližně týden po prvním útoku bylo zjištěno, že Bad Rabbit je zástěrkou pro zákeřnější útok sociálního inženýrství. Phishingové kampaně zaměřené na řadu ukrajinských subjektů měly za cíl kompromitovat finanční informace a další citlivé údaje. Vyšetřovatelé se domnívají, že pachatel útoku Bad Rabbit a sekundární phishingové kampaně je tentýž, přičemž cílem sekundárního útoku bylo získat nepozorovaný přístup i poté, co se ransomwarová kampaň přestala šířit.

„Jak jsou kybernetičtí zločinci stále chytřejší a sofistikovanější, je důležité si uvědomit, že útoky nejsou vždy takové, jak se na první pohled zdají,“ uvedl pro International Business Times Ben Johnson, spoluzakladatel a technologický ředitel společnosti Obsidian Security. NotPetya také použil ransomware jako zástěrku pro sekundární útok, a to pravděpodobně není náhoda.

Je vaše síť zranitelná vůči útokům ransomwaru?“

Zjistěte to nyní pomocí simulátoru ransomwaru „RanSim“ společnosti KnowBe4, výsledky získáte během několika minut.

Získejte RanSim!
“ Zpět na databázi znalostí o ransomwaru

Leave a Reply