Bad Rabbit: Új zsarolóvírus járvány van terjedőben

BY admin
|

A posztot frissítjük, amint szakértőink új részleteket találnak a rosszindulatú szoftverről.

Idén már két nagyszabású zsarolóvírus-támadást láttunk – a hírhedt WannaCry-ről és az ExPetr-ről (más néven Petya és NotPetya) beszélünk. Úgy tűnik, hogy egy harmadik támadás is feljövőben van: Az új kártevő neve Bad Rabbit – legalábbis ezt a nevet jelzi a váltságdíjkérő levélben hivatkozott darknetes weboldal.

Az egyelőre annyit tudni, hogy a Bad Rabbit ransomware több nagy orosz médiumot is megfertőzött, az Interfax hírügynökség és a Fontanka.ru a kártevő megerősített áldozatai között van. Az odesszai nemzetközi repülőtér az információs rendszerét ért kibertámadásról számolt be, bár az még nem világos, hogy ugyanarról a támadásról van-e szó.

A Bad Rabbit-támadás mögött álló bűnözők 0,05 bitcoint követelnek váltságdíjként – ez a jelenlegi árfolyamon nagyjából 280 dollárnak felel meg.

A megállapításaink szerint drive-by támadásról van szó: Az áldozatok egy hamis Adobe Flash telepítőt töltenek le fertőzött webhelyekről, és kézzel indítják el az .exe fájlt, így megfertőzve magukat. Kutatóink számos fertőzött webhelyet észleltek, amelyek mind hír- vagy médiaoldalak voltak.

Adataink szerint a támadások áldozatainak többsége Oroszországban található. Hasonló, de kevesebb támadást észleltünk Ukrajnában, Törökországban és Németországban is. Ez a zsarolóprogram számos feltört orosz médiaweboldalon keresztül fertőzte meg az eszközöket. Vizsgálataink alapján ez egy célzott támadás a vállalati hálózatok ellen, az ExPetr-támadáshoz hasonló módszerekkel.

Szakértőink elegendő bizonyítékot gyűjtöttek össze ahhoz, hogy a Bad Rabbit támadást összekapcsolják az idén júniusban történt ExPetr-támadással. Elemzésük szerint a Bad Rabbitben használt kód egy részét már korábban kiszúrták az ExPetrben.

A további hasonlóságok közé tartozik a drive-by támadáshoz használt tartományok azonos listája (néhány ilyen tartományt már júniusban feltörtek, de nem használtak fel), valamint ugyanazok a technikák, amelyeket a rosszindulatú szoftverek vállalati hálózatokban való terjesztésére használtak – mindkét támadás a Windows Management Instrumentation Command-line-t (WMIC) használta erre a célra. Van azonban egy különbség: Az ExPetrrel ellentétben a Bad Rabbit nem az EternalBlue exploitot használja a fertőzéshez. Hanem az EternalRomance exploitot használja a helyi hálózaton való oldalirányú mozgáshoz.

Szakértőink szerint mindkét támadás mögött ugyanaz a fenyegető szereplő áll, és ez a fenyegető szereplő már 2017 júliusában, vagy még korábban előkészítette a Bad Rabbit támadást. Az ExPetrrel ellentétben azonban úgy tűnik, hogy a Bad Rabbit nem törlőprogram, hanem csak zsarolóprogram: bizonyos típusú fájlokat titkosít, és egy módosított rendszerbetöltőt telepít, így megakadályozza a számítógép normál indítását. Mivel nem törlőről van szó, a mögötte álló rossztevők potenciálisan képesek visszafejteni a jelszót, ami viszont szükséges a fájlok visszafejtéséhez és ahhoz, hogy a számítógép elindíthassa az operációs rendszert.

Szakértőink szerint sajnos a titkosított fájlok visszaszerzésére a titkosítási kulcs ismerete nélkül nincs mód. Ha azonban a Bad Rabbit valamilyen oknál fogva nem titkosította a teljes lemezt, akkor lehetséges a fájlok visszaszerzése az árnyékmásolatokból (ha az árnyékmásolatok a fertőzés előtt engedélyezve voltak). Folytatjuk a vizsgálatot. Addig is további technikai részleteket találhat ebben a bejegyzésben a Securelistán.

A Kaspersky Lab termékei a következő ítéletekkel észlelik a támadást:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM:Trojan.Win32.Generic
  • Intrusion.Win.CVE-2017-0147.sa.leak

A Bad Rabbit áldozatává válás elkerülése érdekében:

A Kaspersky Lab termékek felhasználói:

  • Győződjön meg róla, hogy a System Watcher és a Kaspersky Security Network fut. Ha nem, feltétlenül kapcsolja be ezeket a funkciókat.

Más felhasználók:

  • Blokkolja a c:windowsinfpub.dat és a c:Windowscscc.dat fájlok végrehajtását.
  • Tiltsa le a WMI szolgáltatást (ha ez lehetséges a környezetében), hogy megakadályozza a kártevő terjedését a hálózaton.

Tippek mindenkinek:

  • Másolja le az adatait.
  • Ne fizesse ki a váltságdíjat.