Articles /

Bad Rabbit Ransomware

A Bad Rabbit először 2017 októberében jelent meg, és orosz, ukrán és amerikai szervezeteket célzott meg egy olyan támadással, amely lényegében egy új és továbbfejlesztett NotPetya zsarolóprogram. Az ukrán hatóságok a Bad Rabbit-et a Black Energy-nek tulajdonítják, annak a fenyegetőcsoportnak, amely szerintük a NotPetya mögött is állt. Számos biztonsági szakértő úgy véli, hogy a Black Energy az orosz kormány érdekében és irányítása alatt működik. A támadás nem tartott sokáig, ami arra utal, hogy az irányítók maguk állították le.

A támadás feltört orosz médiaoldalakon található fájlokon keresztül indult, a népszerű social engineering trükköt alkalmazva, amely Adobe Flash telepítőnek adja ki magát. A zsarolóprogram 0,05 bitcoin, azaz körülbelül 275 dollár kifizetését követeli, és 40 órát ad az áldozatoknak a fizetésre, mielőtt a váltságdíj emelkedne.

bad-rabbit-ransomware-diskcoder

Ez lényegében a NotPetya v2.0, jelentős fejlesztésekkel a korábbi verzióhoz képest. A Bad Rabbit számos átfedést mutat a Petya/NotPetya kódjával, így nagy biztonsággal feltételezhetjük, hogy a támadás mögött álló szerzők ugyanazok. A rosszindulatú hasznos terhet is megpróbálták lopott elemek felhasználásával összeállítani, azonban a lopott Petya kernelt egy fejlettebb lemezkriptorral helyettesítették egy törvényes meghajtó formájában.

A jelenlegi kampányban a titkosított adatok a váltságdíj kifizetése után helyreállíthatónak tűnnek, ami azt jelenti, hogy ez a BadRabbit támadás nem olyan pusztító erejű, mint a NotPetya. Sok hibát javítottak a fájltitkosítás folyamatában.

Bad_Rabbit_Screen-Shot-2017-10-24.png

A Bad Rabbit először titkosítja a fájlokat a felhasználó számítógépén, majd kicseréli az MBR-t (Master Boot Record). Ez azt jelenti, hogy két kulcsot kell vásárolni, egyet a bootloaderhez, egyet pedig magukhoz a fájlokhoz. Ez alapvetően tönkreteszi a gépet. További technikai háttér a bleepingcomputer.

How to Inoculate a machine if your endpoint software does not block Bad Rabbit

  • Block execution of the files c:\\windows\infpub.dat and c:\Windows\cscc.dat.
  • Tiltsa le a WMI szolgáltatást (ha ez lehetséges a környezetében), hogy megakadályozza a kártevő terjedését a hálózaton.

Itt talál részletes utasításokat, ha siet.

Egy héttel az első támadás után kiderült, hogy a Bad Rabbit egy alattomosabb social engineering támadás álcája volt. A több ukrán szervezetet célzó adathalászkampányok célja pénzügyi információk és más érzékeny adatok veszélyeztetése volt. A nyomozók úgy vélik, hogy a Bad Rabbit és a másodlagos adathalászkampány elkövetője ugyanaz, a másodlagos támadás célja pedig az volt, hogy észrevétlen hozzáférést szerezzenek jóval azután, hogy a zsarolóprogram-kampány már nem terjedt tovább.

“Ahogy a kiberbűnözők egyre okosabbak és kifinomultabbak, fontos megjegyezni, hogy a támadások nem mindig azok, aminek a felszínen látszanak” – mondta Ben Johnson, az Obsidian Security társalapítója és technológiai igazgatója az International Business Timesnak. A NotPetya egy másodlagos támadás álcájaként is zsarolóprogramot használt, és ez valószínűleg nem véletlen.

Az Ön hálózata sebezhető a Ransomware-támadásokkal szemben?

Tudja meg most a KnowBe4 “RanSim” Ransomware-szimulátorával, percek alatt megkapja az eredményeket.

Kapja meg a RanSim-et!
” Vissza a Ransomware Tudásbázishoz

Leave a Reply