Bad Rabbit: Uusi ransomware-epidemia on nousussa

BY admin
|

Postia päivitetään sitä mukaa, kun asiantuntijamme löytävät uusia yksityiskohtia haittaohjelmasta.

Tänä vuonna on jo nähty kaksi laajamittaista lunnasohjelmahyökkäystä – kyse on pahamaineisista WannaCry- ja ExPetr-haittaohjelmista (tunnetaan myös nimillä Petya ja NotPetya). Näyttää siltä, että kolmas hyökkäys on nousussa: Uuden haittaohjelman nimi on Bad Rabbit – ainakin lunnasvaatimuksessa linkitetyn pimeän verkon verkkosivuston mukaan.

Tällä hetkellä tiedetään, että Bad Rabbit -lunnasohjelma on saastuttanut useita isoja venäläisiä tiedotusvälineitä, muun muassa Interfax-uutistoimisto ja Fontanka.ru ovat haittaohjelman vahvistettuja uhreja. Odessan kansainvälinen lentokenttä on raportoinut tietojärjestelmäänsä kohdistuneesta verkkohyökkäyksestä, vaikka ei ole vielä selvää, onko kyseessä sama hyökkäys.

Bad Rabbit -hyökkäyksen takana olevat rikolliset vaativat lunnaiksi 0,05 bitcoinia – se on nykykurssilla noin 280 dollaria.

Havaintojemme mukaan kyseessä on drive-by-hyökkäys: Uhrit lataavat väärennetyn Adobe Flash -asennusohjelman saastuneilta verkkosivustoilta ja käynnistävät .exe-tiedoston manuaalisesti ja tartuttavat näin itsensä. Tutkijamme ovat havainneet useita saastuneita verkkosivustoja, kaikki uutis- tai mediasivustoja.

Tietojemme mukaan suurin osa näiden hyökkäysten uhreista sijaitsee Venäjällä. Olemme havainneet samanlaisia mutta vähemmän hyökkäyksiä myös Ukrainassa, Turkissa ja Saksassa. Tämä kiristysohjelma on saastuttanut laitteita useiden hakkeroitujen venäläisten mediasivustojen kautta. Tutkimustemme perusteella kyseessä on kohdennettu hyökkäys yritysverkkoja vastaan, jossa käytetään samanlaisia menetelmiä kuin ExPetr-hyökkäyksessä.

Asiantuntijamme ovat keränneet riittävästi todisteita Bad Rabbit -hyökkäyksen yhdistämiseksi tämän vuoden kesäkuussa tapahtuneeseen ExPetr-hyökkäykseen. Heidän analyysinsä mukaan osa Bad Rabbitissa käytetystä koodista havaittiin aiemmin ExPetrissä.

Muihin yhtäläisyyksiin kuuluvat sama luettelo drive-by-hyökkäyksessä käytetyistä verkkotunnuksista (osa näistä verkkotunnuksista hakkeroitiin kesäkuussa, mutta niitä ei käytetty) sekä samat tekniikat, joita käytettiin haittaohjelman levittämiseen yritysverkkoihin – molemmissa hyökkäyksissä käytettiin WMIC:tä (Windows Management Instrumentation Command-line) tähän tarkoitukseen. Tässä on kuitenkin ero: Toisin kuin ExPetr, Bad Rabbit ei käytä EternalBlue-hyökkäystä tartuntaan. Mutta se käyttää EternalRomance-hyökkäystä siirtyäkseen sivusuunnassa lähiverkossa.

Asiantuntijamme uskovat, että molempien hyökkäysten takana on sama uhkatekijä ja että tämä uhkatekijä valmisteli Bad Rabbit -hyökkäystä heinäkuuhun 2017 mennessä tai jopa aiemmin. Toisin kuin ExPetr, Bad Rabbit ei kuitenkaan näytä olevan pyyhkimisohjelma, vaan pelkkä lunnasohjelma: se salaa tietyntyyppisiä tiedostoja ja asentaa muunnellun käynnistyslataajan, jolloin tietokone ei voi käynnistyä normaalisti. Koska se ei ole pyyhkijä, sen takana olevilla pahantekijöillä on mahdollisesti kyky purkaa salasana, jota puolestaan tarvitaan tiedostojen salauksen purkamiseen ja tietokoneen käyttöjärjestelmän käynnistämiseen.

Valitettavasti asiantuntijoidemme mukaan salattuja tiedostoja ei voi saada takaisin tietämättä salausavainta. Jos Bad Rabbit ei kuitenkaan jostain syystä salannut koko levyä, on mahdollista saada tiedostot takaisin varjokopioista (jos varjokopiot olivat käytössä ennen tartuntaa). Jatkamme tutkimuksia. Sillä välin löydät lisää teknisiä yksityiskohtia tästä Securelist-postauksesta.

Kaspersky Labin tuotteet havaitsevat hyökkäyksen seuraavilla tuomioilla:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM:Trojan.Win32.Generic
  • Intrusion.Win.CVE-2017-0147.sa.leak

Välttääksesi joutumasta Bad Rabbitin uhriksi:

Kaspersky Lab -tuotteiden käyttäjät:

  • Varmistaudu siitä, että sinulla on käytössäsi Järjestelmänvalvontatieto (System Watcher) ja Kaspersky Security Network. Jos näin ei ole, nämä ominaisuudet on ehdottomasti otettava käyttöön.

Muut käyttäjät:

  • Estä tiedostojen c:windowsinfpub.dat ja c:Windowscscc.dat suorittaminen.
  • Poista WMI-palvelu käytöstä (jos se on mahdollista ympäristössäsi), jotta haittaohjelma ei pääse leviämään verkossasi.

Vinkkejä kaikille:

  • Tallenna tietosi varmuuskopioimalla ne.
  • Älä maksa lunnaita.