Bad Rabbit Ransomware

Bad Rabbit dukkede først op i oktober 2017 og var rettet mod organisationer i Rusland, Ukraine og USA med et angreb, der grundlæggende er en ny og forbedret NotPetya-ransomware. De ukrainske myndigheder tilskriver Bad Rabbit til Black Energy, den trusselsgruppe, som de også mener stod bag NotPetya. Mange sikkerhedseksperter mener, at Black Energy opererer i den russiske regerings interesse og under ledelse af denne. Angrebet varede ikke længe, hvilket tyder på, at kontrollørerne selv lukkede det ned.

Angrebet startede via filer på hackede russiske mediewebsteder ved hjælp af det populære social engineering-trick med at foregive at være et Adobe Flash-installationsprogram. Ransomware kræver en betaling på 0,05 bitcoin eller ca. 275 dollars og giver ofrene 40 timer til at betale, før løsesummen stiger.

bad-rabbit-ransomware-diskcoder

Dette er dybest set NotPetya v2.0, med betydelige forbedringer i forhold til den tidligere version. Bad Rabbit har mange overlappende elementer til koden i Petya/NotPetya, hvilket gør, at vi med stor sikkerhed kan antage, at forfatterne bag angrebet er de samme. De har også forsøgt at sammensætte deres ondsindede nyttelast ved hjælp af stjålne elementer, men den stjålne Petya-kernel er dog blevet erstattet af en mere avanceret disk-krypteringsenhed i form af en legitim driver.

I denne aktuelle kampagne ser det ud til, at krypterede data kan genoprettes efter betaling af løsesummen, hvilket betyder, at dette BadRabbit-angreb ikke er så destruktivt som NotPetya. De har rettet en masse fejl i filkrypteringsprocessen.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit krypterer først filer på brugerens computer og udskifter derefter MBR’en (Master Boot Record). Det betyder, at du skal købe to nøgler, en til bootloaderen og en til selve filerne. Dette blokerer i princippet maskinen. Mere teknisk baggrund på bleepingcomputer.

Sådan vaccinerer du en maskine, hvis din endpoint-software ikke blokerer Bad Rabbit

  • Blokér udførelsen af filerne c:\windows\infpub.dat og c:\Windows\csccc.dat.
  • Disabler WMI-tjenesten (hvis det er muligt i dit miljø) for at forhindre, at malware spredes over dit netværk.

Her er en detaljeret vejledning, hvis du har travlt.

Omkring en uge efter det første angreb blev det opdaget, at Bad Rabbit var et dække for et mere lumsk social engineering-angreb. Phishing-kampagner rettet mod en række ukrainske enheder havde til formål at kompromittere finansielle oplysninger og andre følsomme data. Efterforskerne mener, at gerningsmanden bag Bad Rabbit og den sekundære phishing-kampagne er den samme, og at målet med det sekundære angreb var at få uopdaget adgang længe efter, at ransomware-kampagnen holdt op med at sprede sig.

“Efterhånden som cyberkriminelle bliver klogere og mere sofistikerede, er det vigtigt at huske, at angreb ikke altid er, hvad de ser ud til at være på overfladen,” siger Ben Johnson, medstifter og teknologichef hos Obsidian Security, til International Business Times. NotPetya brugte også ransomware som et dække for et sekundært angreb, og det er nok ikke tilfældigt.

Er dit netværk sårbart over for ransomware-angreb?

Find det nu ud af det med KnowBe4’s Ransomware-simulator “RanSim”, få dine resultater på få minutter.

Få RanSim!
” Tilbage til Ransomware Knowledgebase

Leave a Reply