Bad Rabbit Ransomware

Bad Rabbit pojawił się po raz pierwszy w październiku 2017 roku, celując w organizacje w Rosji, na Ukrainie i w Stanach Zjednoczonych z atakiem, który jest w zasadzie nowym i ulepszonym ransomware NotPetya. Władze ukraińskie przypisują Bad Rabbit do Black Energy, grupy zagrożeń, która ich zdaniem również stała za NotPetya. Wielu ekspertów ds. bezpieczeństwa uważa, że Black Energy działa w interesie i pod kierunkiem rosyjskiego rządu. Atak nie trwał długo, co wskazuje na to, że kontrolerzy sami go wyłączyli.

Atak rozpoczął się za pośrednictwem plików na zhakowanych rosyjskich stronach medialnych, wykorzystując popularną sztuczkę socjotechniczną polegającą na udawaniu instalatora Adobe Flash. Ransomware żąda zapłaty 0,05 bitcoina, czyli około 275 dolarów, dając ofiarom 40 godzin na zapłatę, zanim okup wzrośnie.

bad-rabbit-ransomware-diskcoder

To w zasadzie NotPetya v2.0, ze znaczącymi ulepszeniami w stosunku do wcześniejszej wersji. Bad Rabbit posiada wiele elementów pokrywających się z kodem Petya/NotPetya, przez co możemy z dużą dozą pewności założyć, że autorzy stojący za atakiem są ci sami. W obecnej kampanii zaszyfrowane dane wydają się być możliwe do odzyskania po zapłaceniu okupu, co oznacza, że atak BadRabbit nie jest tak niszczycielski jak NotPetya. Naprawiono wiele błędów w procesie szyfrowania plików.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit najpierw szyfruje pliki na komputerze użytkownika, a następnie zastępuje MBR (Master Boot Record). Oznacza to, że musisz kupić dwa klucze, jeden dla bootloadera i jeden dla samych plików. To w zasadzie blokuje maszynę. Więcej informacji technicznych na bleepingcomputer.

Jak zaszczepić maszynę, jeśli twoje oprogramowanie punktu końcowego nie blokuje Bad Rabbit

  • Zablokuj wykonywanie plików c:\Windows\infpub.dat i c:\Windows\cscc.dat.
  • Wyłącz usługę WMI (jeśli jest to możliwe w twoim środowisku), aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania w sieci.

Tutaj znajdują się szczegółowe instrukcje, jeśli się spieszysz.

Około tygodnia po początkowym ataku Bad Rabbit został odkryty jako przykrywka dla bardziej podstępnego ataku socjotechnicznego. Kampanie phishingowe skierowane do wielu ukraińskich podmiotów miały na celu narażenie na szwank informacji finansowych i innych wrażliwych danych. Śledczy uważają, że sprawca Bad Rabbit i wtórnej kampanii phishingowej to ta sama osoba, a celem wtórnego ataku było uzyskanie niewykrytego dostępu na długo po tym, jak kampania ransomware przestała się rozprzestrzeniać.

„Ponieważ cyberprzestępcy stają się coraz sprytniejsi i bardziej wyrafinowani, ważne jest, aby pamiętać, że ataki nie zawsze są tym, czym wydają się być na pierwszy rzut oka” – powiedział International Business Times Ben Johnson, współzałożyciel i dyrektor ds. technologii w Obsidian Security. NotPetya wykorzystał również oprogramowanie ransomware jako przykrywkę dla ataku wtórnego, i to prawdopodobnie nie jest przypadek.

Is Your Network Vulnerable To Ransomware Attacks?

Dowiedz się teraz dzięki symulatorowi oprogramowania Ransomware „RanSim” firmy KnowBe4, uzyskaj wyniki w ciągu kilku minut.

Get RanSim!
” Back To Ransomware Knowledgebase

Leave a Reply