Bad Rabbit Ransomware

Bad Rabbit ilmestyi ensimmäisen kerran lokakuussa 2017, ja sen kohteena olivat organisaatiot Venäjällä, Ukrainassa ja Yhdysvalloissa. Ukrainan viranomaiset yhdistävät Bad Rabbitin Black Energyyn, uhkaryhmään, jonka he uskovat olleen myös NotPetyan takana. Monet tietoturva-asiantuntijat uskovat, että Black Energy toimii Venäjän hallituksen etujen mukaisesti ja sen johdolla. Hyökkäys ei kestänyt pitkään, mikä viittaa siihen, että ohjaajat sammuttivat sen itse.

Hyökkäys alkoi hakkeroitujen venäläisten mediasivustojen tiedostojen kautta käyttäen suosittua sosiaalisen insinöörityön temppua, jossa se teeskenteli olevansa Adobe Flash -asennusohjelma. Lunnasohjelma vaatii 0,05 bitcoinin eli noin 275 dollarin maksua ja antaa uhreille 40 tuntia aikaa maksaa ennen kuin lunnaat nousevat.

bad-rabbit-ransomware-diskcoder

Tämä on periaatteessa NotPetya v2.0, jossa on merkittäviä parannuksia aiempaan versioon nähden. Bad Rabbitissa on monia päällekkäisiä elementtejä Petya/NotPetyan koodin kanssa, joten voimme olettaa suurella varmuudella, että tekijät hyökkäyksen takana ovat samat. He yrittivät myös koota haitallista hyötykuormaa varastettujen elementtien avulla, mutta varastettu Petya-ydin on kuitenkin korvattu kehittyneemmällä levynkryptaajalla laillisen ajurin muodossa.

Tässä nykyisessä kampanjassa salatut tiedot näyttäisivät olevan palautettavissa lunnaiden maksamisen jälkeen, mikä tarkoittaa, että tämä BadRabbit-hyökkäys ei ole yhtä tuhoisa kuin NotPetya. He korjasivat paljon virheitä tiedostojen salausprosessissa.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit salaa ensin käyttäjän tietokoneella olevat tiedostot ja korvaa sitten MBR:n (Master Boot Record). Tämä tarkoittaa, että sinun on ostettava kaksi avainta, yksi bootloaderiin ja yksi itse tiedostoihin. Tämä periaatteessa lamauttaa koneen. Lisää teknistä taustaa osoitteessa bleepingcomputer.

How to Inoculate a machine if your endpoint software does not block Bad Rabbit

  • Block execution of the files c:\\windows\infpub.dat and c:\Windows\cscc.dat.
  • Poista WMI-palvelu käytöstä (jos se on mahdollista ympäristössäsi), jotta haittaohjelma ei pääse leviämään verkossa.

Tässä on yksityiskohtaiset ohjeet, jos sinulla on kiire.

Noin viikko alkuperäisen hyökkäyksen jälkeen paljastui, että Bad Rabbit oli peite salakavalammalle sosiaaliselle insinööritoiminnalle. Useisiin ukrainalaisiin yhteisöihin kohdistetuilla phishing-kampanjoilla pyrittiin vaarantamaan taloudellisia tietoja ja muita arkaluonteisia tietoja. Tutkijat uskovat, että Bad Rabbitin ja toissijaisen phishing-kampanjan tekijä on sama, ja toissijaisen hyökkäyksen tavoitteena oli saada huomaamaton pääsy hyvissä ajoin sen jälkeen, kun lunnasohjelmakampanja oli lakannut leviämästä.

”Kun tietoverkkorikolliset muuttuvat yhä älykkäämmiksi ja hienostuneemmiksi, on tärkeää muistaa, että hyökkäykset eivät aina ole sitä, miltä ne näyttävät päällisin puolin”, Obsidian Security -yhtiön toinen perustajaehdokas ja teknologiapäällikkö Ben Johnson kertoi kansainväliselle Business Timesille. NotPetya käytti lunnasohjelmia myös toisen hyökkäyksen verukkeena, eikä se liene sattumaa.

Onko verkkosi haavoittuvainen ransomware-hyökkäyksille?

Osta se nyt KnowBe4:n Ransomware-simulaattorilla ”RanSim”, saat tulokset muutamassa minuutissa.

Hanki RanSim!
” Takaisin Ransomware-tietokantaan

Leave a Reply