Bad Rabbit Ransomware

Bad Rabbit verscheen voor het eerst in oktober van 2017 en richtte zich op organisaties in Rusland, Oekraïne en de VS met een aanval die in feite een nieuwe en verbeterde NotPetya ransomware is. Oekraïense autoriteiten schrijven Bad Rabbit toe aan Black Energy, de dreiggroep waarvan zij ook denken dat deze achter NotPetya zat. Veel beveiligingsexperts geloven dat Black Energy opereert in het belang en onder leiding van de Russische regering. De aanval duurde niet lang, wat erop wijst dat de controleurs het zelf hebben afgesloten.

De aanval begon via bestanden op gehackte Russische mediawebsites, gebruikmakend van de populaire social engineering-truc om zich voor te doen als een Adobe Flash-installatieprogramma. De ransomware eist een betaling van 0,05 bitcoin, of ongeveer 275 dollar, en geeft slachtoffers 40 uur om te betalen voordat het losgeld omhoog gaat.

bad-rabbit-ransomware-diskcoder

Dit is in feite NotPetya v2.0, met aanzienlijke verbeteringen ten opzichte van de eerdere versie. Bad Rabbit heeft veel overlappende elementen met de code van Petya/NotPetya, waardoor we met een hoge mate van zekerheid kunnen aannemen dat de auteurs achter de aanval dezelfde zijn. Ze hebben ook geprobeerd om hun kwaadaardige payload samen te stellen met behulp van gestolen elementen, maar de gestolen Petya kernel is vervangen door een meer geavanceerde disk crypter in de vorm van een legitieme driver.

In deze huidige campagne lijken versleutelde gegevens te kunnen worden teruggehaald na het betalen van het losgeld, wat betekent dat deze BadRabbit aanval niet zo destructief is als NotPetya. Er zijn veel bugs in het versleutelingsproces hersteld.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit versleutelt eerst bestanden op de computer van de gebruiker en vervangt dan de MBR (Master Boot Record). Dit betekent dat u twee sleutels moet kopen, een voor de bootloader en een voor de bestanden zelf. Dit maakt de machine eigenlijk onklaar. Meer technische achtergrond op bleepingcomputer.

Hoe een machine te enten als uw endpoint software Bad Rabbit niet blokkeert

  • Blokkeer de uitvoering van de bestanden c:\windowsinfpub.dat en c:\Windows\cscc.dat.
  • Disable the WMI service (if it’s possible in your environment) to prevent the malware from spreading over your network.

Here are detailed instructions if you are in a hurry.

Op ongeveer een week na de eerste aanval werd ontdekt dat Bad Rabbit een dekmantel was voor een meer verraderlijke social engineering aanval. Phishing-campagnes gericht op een aantal Oekraïense entiteiten waren bedoeld om financiële informatie en andere gevoelige gegevens in gevaar te brengen. Onderzoekers denken dat de dader van Bad Rabbit en van de secundaire phishingcampagne dezelfde zijn, waarbij het doel van de secundaire aanval is om onopgemerkt toegang te krijgen ver nadat de ransomwarecampagne gestopt is met verspreiden.

“Nu cybercriminelen steeds slimmer en geavanceerder worden, is het belangrijk om te onthouden dat aanvallen niet altijd zijn wat ze aan de oppervlakte lijken,” vertelde Ben Johnson, medeoprichter en chief technology officer van Obsidian Security, aan International Business Times. NotPetya gebruikte ook ransomware als dekmantel voor een secundaire aanval, en dat is waarschijnlijk geen toeval.

Is uw netwerk kwetsbaar voor ransomware-aanvallen?

Vind het nu uit met KnowBe4’s Ransomware Simulator “RanSim”, ontvang uw resultaten in enkele minuten.

Get RanSim!
” Terug naar Ransomware Knowledgebase

Leave a Reply