Bad Rabbit: En ny ransomware-epidemi er på vej
Indlægget opdateres, efterhånden som vores eksperter finder nye oplysninger om malware.
Vi har allerede set to omfattende ransomware-angreb i år – vi taler om de berygtede WannaCry- og ExPetr-angreb (også kendt som Petya og NotPetya). Det ser ud til, at et tredje angreb er på vej: Den nye malware hedder Bad Rabbit – det er i hvert fald det navn, der er angivet på det darknet-websted, der er linket til i løsesumsnotaen.
Det, man ved i øjeblikket, er, at Bad Rabbit-ransomwaren har inficeret flere store russiske medier, hvor nyhedsbureauet Interfax og Fontanka.ru er blandt de bekræftede ofre for malwareen. Odessa International Airport har rapporteret om et cyberangreb på sit informationssystem, men det er endnu ikke klart, om der er tale om det samme angreb.
De kriminelle bag Bad Rabbit-angrebet kræver 0,05 bitcoin som løsesum – det svarer til ca. 280 dollars efter den nuværende valutakurs.
Ifølge vores resultater er der tale om et drive-by-angreb: Ofrene downloader et falsk Adobe Flash-installationsprogram fra inficerede websteder og starter manuelt .exe-filen og inficerer dermed sig selv. Vores forskere har opdaget en række kompromitterede websteder, alle nyheds- eller mediesites.
Ifølge vores data befinder de fleste ofre for disse angreb sig i Rusland. Vi har også set lignende, men færre angreb i Ukraine, Tyrkiet og Tyskland. Denne ransomware har inficeret enheder via en række hackede russiske mediewebsteder. På baggrund af vores undersøgelse er der tale om et målrettet angreb mod virksomhedsnetværk ved hjælp af metoder, der ligner dem, der blev anvendt i ExPetr-angrebet.
Vores eksperter har indsamlet tilstrækkeligt med beviser til at forbinde Bad Rabbit-angrebet med ExPetr-angrebet, som fandt sted i juni i år. Ifølge deres analyse blev noget af den kode, der blev brugt i Bad Rabbit, tidligere opdaget i ExPetr.
Andre ligheder omfatter den samme liste over domæner, der blev brugt til drive-by-angrebet (nogle af disse domæner blev hacket tilbage i juni, men ikke brugt), samt de samme teknikker, der blev brugt til at sprede malware i virksomhedsnetværk – begge angreb brugte Windows Management Instrumentation Command-line (WMIC) til det formål. Der er dog en forskel: I modsætning til ExPetr bruger Bad Rabbit ikke EternalBlue-angrebet til infektionen. Men den bruger EternalRomance-exploit til at bevæge sig lateralt på det lokale netværk.
Vores eksperter mener, at det er den samme trusselsaktør, der står bag begge angreb, og at denne trusselsaktør forberedte Bad Rabbit-angrebet i juli 2017, eller endda tidligere. I modsætning til ExPetr synes Bad Rabbit dog ikke at være en wiper, men blot ransomware: Den krypterer filer af visse typer og installerer en modificeret bootloader og forhindrer dermed pc’en i at starte normalt op. Fordi det ikke er en wiper, har de ondsindede bagmænd potentielt mulighed for at dekryptere adgangskoden, som igen er nødvendig for at dekryptere filer og give computeren mulighed for at starte operativsystemet op.
Desværre siger vores eksperter, at der ikke er nogen måde at få de krypterede filer tilbage på uden at kende krypteringsnøglen. Men hvis Bad Rabbit af en eller anden grund ikke krypterede hele disken, er det muligt at hente filerne fra skyggekopierne (hvis skyggekopierne var aktiveret før infektionen). Vi fortsætter vores undersøgelse. I mellemtiden kan du finde flere tekniske detaljer i dette indlæg på Securelist.
Kaspersky Lab’s produkter registrerer angrebet med følgende domme:
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- DangerousObject.Multi.Generic
- PDM:Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
For at undgå at blive offer for Bad Rabbit:
Brugere af Kaspersky Lab-produkter:
- Sørg for, at du har System Watcher og Kaspersky Security Network kørende. Hvis ikke, er det vigtigt at slå disse funktioner til.
Andre brugere:
- Blokér udførelsen af filerne c:windowsinfpub.dat og c:Windowscscc.dat.
- Disabler WMI-tjenesten (hvis det er muligt i dit miljø) for at forhindre, at malware spredes over dit netværk.
Tips til alle:
- Backup dine data.
- Betal ikke løsesummen.