Bad Rabbit: een nieuwe ransomware-epidemie is in opkomst
Dit bericht wordt bijgewerkt naarmate onze deskundigen nieuwe details over de malware vinden.
We hebben dit jaar al twee grootschalige ransomware-aanvallen gezien – we hebben het over de beruchte WannaCry en ExPetr (ook bekend als Petya en NotPetya). Het lijkt erop dat een derde aanval in opkomst is: De nieuwe malware heet Bad Rabbit – althans, dat is de naam die wordt aangegeven door de darknet website waarnaar wordt gelinkt in het losgeldbriefje.
Wat op dit moment bekend is, is dat Bad Rabbit ransomware verschillende grote Russische media outlets heeft geïnfecteerd, met Interfax nieuwsagentschap en Fontanka.ru onder de bevestigde slachtoffers van de malware. Odessa International Airport heeft melding gemaakt van een cyberaanval op zijn informatiesysteem, hoewel nog niet duidelijk is of het om dezelfde aanval gaat.
De criminelen achter de Bad Rabbit-aanval eisen 0,05 bitcoin als losgeld – dat is ruwweg $280 tegen de huidige wisselkoers.
Volgens onze bevindingen gaat het om een drive-by-aanval: Slachtoffers downloaden een nep Adobe Flash-installatieprogramma van geïnfecteerde websites en starten het .exe-bestand handmatig, waardoor ze zichzelf infecteren. Onze onderzoekers hebben een aantal besmette websites gedetecteerd, allemaal nieuws- of mediasites.
Volgens onze gegevens bevinden de meeste slachtoffers van deze aanvallen zich in Rusland. We hebben ook soortgelijke maar minder aanvallen gezien in Oekraïne, Turkije en Duitsland. Deze ransomware heeft apparaten geïnfecteerd via een aantal gehackte Russische mediawebsites. Op basis van ons onderzoek is dit een gerichte aanval op bedrijfsnetwerken, waarbij methoden worden gebruikt die vergelijkbaar zijn met die van de ExPetr-aanval.
Onze experts hebben genoeg bewijs verzameld om de Bad Rabbit-aanval in verband te brengen met de ExPetr-aanval, die in juni van dit jaar plaatsvond. Volgens hun analyse werd een deel van de code die werd gebruikt in Bad Rabbit eerder gespot in ExPetr.
Andere overeenkomsten zijn dezelfde lijst met domeinen die werden gebruikt voor de drive-by-aanval (sommige van die domeinen werden al in juni gehackt, maar niet gebruikt), evenals dezelfde technieken die werden gebruikt voor het verspreiden van de malware in bedrijfsnetwerken – beide aanvallen maakten gebruik van Windows Management Instrumentation Command-line (WMIC) voor dat doel. Er is echter een verschil: In tegenstelling tot ExPetr, gebruikt Bad Rabbit niet de EternalBlue exploit voor de infectie. Maar het gebruikt de EternalRomance exploit om zich zijdelings op het lokale netwerk te verplaatsen.
Onze experts denken dat dezelfde dreigingsactor achter beide aanvallen zit en dat deze dreigingsactor de Bad Rabbit-aanval al in juli 2017, of zelfs eerder, aan het voorbereiden was. In tegenstelling tot ExPetr lijkt Bad Rabbit echter geen wiper te zijn, maar gewoon ransomware: het versleutelt bestanden van sommige typen en installeert een aangepaste bootloader, waardoor de pc niet meer normaal kan opstarten. Omdat het geen wisser is, hebben de boosdoeners erachter mogelijk de mogelijkheid om het wachtwoord te decoderen, dat op zijn beurt nodig is om bestanden te decoderen en de computer toe te staan het besturingssysteem op te starten.
Ongelukkigerwijs zeggen onze experts dat er geen manier is om de versleutelde bestanden terug te krijgen zonder de encryptiesleutel te kennen. Echter, als om de een of andere reden Bad Rabbit niet de hele schijf heeft versleuteld, is het mogelijk om de bestanden terug te halen van de schaduw kopieën (als de schaduw kopieën waren ingeschakeld voorafgaand aan de infectie). We zetten ons onderzoek voort. In de tussentijd kunt u meer technische details vinden in dit bericht op Securelist.
Kaspersky Lab’s producten detecteren de aanval met de volgende oordelen:
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- DangerousObject.Multi.Generic
- PDM:Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
Om te voorkomen dat u slachtoffer wordt van Bad Rabbit:
Gebruikers van Kaspersky Lab-producten:
- Zorg ervoor dat u System Watcher en Kaspersky Security Network hebt ingeschakeld. Zo niet, dan is het essentieel dat u deze functies inschakelt.
Andere gebruikers:
- Blokkeer de uitvoering van de bestanden c:windowsinfpub.dat en c:Windowscscc.dat.
- Schakel de WMI-service uit (indien mogelijk in uw omgeving) om te voorkomen dat de malware zich via uw netwerk verspreidt.
Tips voor iedereen:
- Back-up van uw gegevens.
- Betaal het losgeld niet.