Bad Rabbit Ransomware

Bad Rabbit dök upp för första gången i oktober 2017 och riktade sig mot organisationer i Ryssland, Ukraina och USA med en attack som i princip är en ny och förbättrad NotPetya Ransomware. Ukrainska myndigheter tillskriver Bad Rabbit Black Energy, den hotgrupp som de också tror låg bakom NotPetya. Många säkerhetsexperter tror att Black Energy verkar i den ryska regeringens intresse och under dess ledning. Attacken varade inte länge, vilket tyder på att kontrollanterna stängde av den själva.

Angreppet startade via filer på hackade webbplatser för ryska medier, med hjälp av det populära social engineering-tricket att låtsas vara ett installationsprogram för Adobe Flash. Ransomware kräver en betalning på 0,05 bitcoin, eller cirka 275 dollar, och ger offren 40 timmar på sig att betala innan lösensumman höjs.

Detta är i princip NotPetya v2.0, med betydande förbättringar jämfört med den tidigare versionen. Bad Rabbit har många överlappande element till koden för Petya/NotPetya, vilket gör att vi med stor säkerhet kan anta att författarna bakom attacken är desamma. De försökte också komponera sin skadliga nyttolast med hjälp av stulna element, men den stulna Petya-kärnan har ersatts med en mer avancerad disk-krypterare i form av en legitim drivrutin.

I den här aktuella kampanjen tycks krypterade data kunna återställas efter att ha betalat lösensumman, vilket innebär att denna BadRabbit-attack inte är lika destruktiv som NotPetya. De har åtgärdat en hel del buggar i filkrypteringsprocessen.

Bad Rabbit krypterar först filer på användarens dator och ersätter sedan MBR (Master Boot Record). Detta innebär att du måste köpa två nycklar, en för bootloader och en för själva filerna. Detta gör att maskinen i princip blir murad. Mer teknisk bakgrund på bleepingcomputer.

Hur du vaccinerar en maskin om din slutpunktsmjukvara inte blockerar Bad Rabbit

• Blockerar utförandet av filerna c:\windows\infpub.dat och c:\Windows\csccc.dat.
• Disaktivera WMI-tjänsten (om det är möjligt i din miljö) för att förhindra att skadlig kod sprids i nätverket.

Här finns detaljerade instruktioner om du har bråttom.

Omkring en vecka efter den första attacken upptäcktes att Bad Rabbit var en täckmantel för en mer försåtlig social engineering-attack. Phishing-kampanjer riktade mot ett antal ukrainska enheter syftade till att äventyra finansiell information och andra känsliga uppgifter. Utredarna tror att förövaren av Bad Rabbit och den sekundära phishing-kampanjen är densamma, och att målet med den sekundära attacken var att skaffa sig oupptäckt åtkomst långt efter det att kampanjen med utpressningstrojaner slutat sprida sig.

”I takt med att cyberbrottslingar blir smartare och mer sofistikerade är det viktigt att komma ihåg att attacker inte alltid är vad de ser ut att vara på ytan”, säger Ben Johnson, medgrundare och teknikchef på Obsidian Security, till International Business Times. NotPetya använde också utpressningstrojaner som en täckmantel för en sekundär attack, och det är förmodligen ingen tillfällighet.

Är ditt nätverk sårbart för Ransomware-attacker?

Finn ut det nu med KnowBe4:s Ransomware-simulator ”RanSim”, få dina resultat på några minuter.

” Tillbaka till kunskapsbasen om Ransomware