Bad Rabbit Ransomware

Bad Rabbit a apărut pentru prima dată în octombrie 2017, vizând organizații din Rusia, Ucraina și SUA cu un atac care este practic un ransomware NotPetya nou și îmbunătățit. Autoritățile ucrainene atribuie Bad Rabbit lui Black Energy, grupul de amenințări despre care cred, de asemenea, că se află în spatele NotPetya. Mulți experți în securitate consideră că Black Energy operează în interesul și sub conducerea guvernului rus. Atacul nu a durat mult timp, ceea ce indică faptul că controlorii l-au oprit ei înșiși.

Atacul a început prin intermediul unor fișiere de pe site-uri media rusești piratate, folosind un truc popular de inginerie socială care pretinde a fi un program de instalare Adobe Flash. Ransomware-ul cere o plată de 0,05 bitcoin, sau aproximativ 275 de dolari, oferind victimelor 40 de ore pentru a plăti înainte ca răscumpărarea să crească.

bad-rabbit-ransomware-diskcoder

Acesta este practic NotPetya v2.0, cu îmbunătățiri semnificative față de versiunea anterioară. Bad Rabbit are multe elemente care se suprapun cu codul lui Petya/NotPetya, ceea ce ne permite să presupunem cu un grad ridicat de certitudine că autorii din spatele atacului sunt aceiași. Aceștia au încercat, de asemenea, să își compună încărcătura utilă malițioasă folosind elemente furate, cu toate acestea, nucleul Petya furat a fost înlocuit cu un dispozitiv de criptare a discurilor mai avansat sub forma unui driver legitim.

În această campanie actuală, datele criptate par a putea fi recuperate după plata răscumpărării, ceea ce înseamnă că acest atac BadRabbit nu este la fel de distructiv ca NotPetya. Au reparat o mulțime de erori în procesul de criptare a fișierelor.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit criptează mai întâi fișierele de pe calculatorul utilizatorului și apoi înlocuiește MBR (Master Boot Record). Acest lucru înseamnă că trebuie să cumpărați două chei, una pentru bootloader și una pentru fișierele propriu-zise. Practic, acest lucru blochează mașina. Mai multe informații tehnice la bleepingcomputer.

Cum să inoculați o mașină dacă software-ul endpoint nu blochează Bad Rabbit

  • Blocați executarea fișierelor c:\windows\infpub.dat și c:\Windows\cscc.dat.
  • Dezactivați serviciul WMI (dacă este posibil în mediul dvs.) pentru a preveni răspândirea malware-ului în rețea.

Iată instrucțiuni detaliate dacă vă grăbiți.

La aproximativ o săptămână după atacul inițial s-a descoperit că Bad Rabbit era o acoperire pentru un atac de inginerie socială mai insidios. Campaniile de phishing care vizau o serie de entități ucrainene intenționau să compromită informații financiare și alte date sensibile. Anchetatorii cred că autorul Bad Rabbit și al campaniei secundare de phishing sunt aceiași, scopul atacului secundar fiind acela de a obține acces nedetectat mult după ce campania de ransomware a încetat să se mai răspândească.

„Pe măsură ce infractorii cibernetici devin mai inteligenți și mai sofisticați, este important să ne amintim că atacurile nu sunt întotdeauna ceea ce par la suprafață”, a declarat Ben Johnson, cofondator și director de tehnologie al Obsidian Security, pentru International Business Times. NotPetya a folosit, de asemenea, ransomware ca acoperire pentru un atac secundar, iar acest lucru nu este, probabil, o coincidență.

Rețeaua dumneavoastră este vulnerabilă la atacurile Ransomware?

Descoperiți acum cu simulatorul de Ransomware „RanSim” de la KnowBe4, obțineți rezultatele în câteva minute.

Obțineți RanSim!
” Înapoi la Baza de cunoștințe Ransomware

Leave a Reply