Bad Rabbit: Nowa epidemia ransomware rośnie

Post jest aktualizowany, ponieważ nasi eksperci znajdują nowe szczegóły dotyczące złośliwego oprogramowania.

W tym roku widzieliśmy już dwa ataki ransomware na dużą skalę – mówimy o niesławnym WannaCry i ExPetr (znanym również jako Petya i NotPetya). Wygląda na to, że nasila się trzeci atak: Nowe złośliwe oprogramowanie nazywa się Bad Rabbit – przynajmniej taką nazwę wskazuje strona internetowa darknetu, do której prowadzi link w nocie o okupie.

W tej chwili wiadomo, że ransomware Bad Rabbit zainfekował kilka dużych rosyjskich mediów, z agencją informacyjną Interfax i Fontanka.ru wśród potwierdzonych ofiar złośliwego oprogramowania. Międzynarodowe lotnisko w Odessie poinformowało o cyberataku na swój system informatyczny, jednak to, czy jest to ten sam atak, nie jest jeszcze jasne.

Przestępcy stojący za atakiem Bad Rabbit żądają 0,05 bitcoina jako okupu – to około 280 dolarów przy obecnym kursie wymiany.

Zgodnie z naszymi ustaleniami, jest to atak typu drive-by: Ofiary pobierają fałszywy instalator Adobe Flash z zainfekowanych stron internetowych i ręcznie uruchamiają plik .exe, zarażając się w ten sposób. Nasi badacze wykryli wiele zainfekowanych stron internetowych, wszystkie z nich to serwisy informacyjne lub medialne.

Z naszych danych wynika, że większość ofiar tych ataków znajduje się w Rosji. Podobne, ale rzadsze ataki zaobserwowaliśmy również na Ukrainie, w Turcji i Niemczech. To ransomware zainfekowało urządzenia za pośrednictwem kilku zhakowanych rosyjskich stron internetowych z mediami. Na podstawie naszego dochodzenia, jest to atak ukierunkowany na sieci korporacyjne, wykorzystujący metody podobne do tych, które zostały użyte w ataku ExPetr.

Nasi eksperci zebrali wystarczająco dużo dowodów, aby powiązać atak Bad Rabbit z atakiem ExPetr, który miał miejsce w czerwcu tego roku. Według ich analizy, część kodu użytego w Bad Rabbit została wcześniej zauważona w ExPetr.

Inne podobieństwa obejmują tę samą listę domen użytych do ataku drive-by (niektóre z tych domen zostały zhakowane w czerwcu, ale nie zostały wykorzystane), jak również te same techniki użyte do rozprzestrzeniania złośliwego oprogramowania w sieciach korporacyjnych – oba ataki wykorzystały do tego celu Windows Management Instrumentation Command-line (WMIC). Jest jednak pewna różnica: W przeciwieństwie do ExPetr, Bad Rabbit nie wykorzystuje exploita EternalBlue do infekcji. Wykorzystuje natomiast exploit EternalRomance do przemieszczania się na boki w sieci lokalnej.

Nasi eksperci uważają, że za oboma atakami stoi ten sam aktor zagrożeń i że ten aktor zagrożeń przygotowywał atak Bad Rabbit już w lipcu 2017 r. lub nawet wcześniej. Jednak w przeciwieństwie do ExPetr, Bad Rabbit wydaje się nie być wiperem, a jedynie ransomware: szyfruje pliki niektórych typów i instaluje zmodyfikowany bootloader, uniemożliwiając w ten sposób normalne uruchomienie komputera. Ponieważ nie jest to wiper, malefactors za nim potencjalnie mają możliwość odszyfrowania hasła, które z kolei jest potrzebne do odszyfrowania plików i umożliwienia komputerowi uruchomienia systemu operacyjnego.

Niestety, nasi eksperci twierdzą, że nie ma sposobu na odzyskanie zaszyfrowanych plików bez znajomości klucza szyfrowania. Jeśli jednak z jakiegoś powodu Bad Rabbit nie zaszyfrował całego dysku, możliwe jest odzyskanie plików z kopii cieni (jeśli kopie cieni były włączone przed infekcją). Kontynuujemy nasze dochodzenie. W międzyczasie więcej szczegółów technicznych można znaleźć w tym poście na Securelist.

Produkty firmy Kaspersky Lab wykrywają atak z następującymi werdyktami:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM:Trojan.Win32.Generic
  • Intrusion.Win.CVE-2017-0147.sa.leak

Aby uniknąć stania się ofiarą Złego Królika:

Użytkownicy produktów Kaspersky Lab:

  • Upewnij się, że masz uruchomione programy System Watcher i Kaspersky Security Network. Jeżeli nie, koniecznie włącz te funkcje.

Inni użytkownicy:

  • Zablokuj wykonywanie plików c:windowsinfpub.dat i c:Windowscscc.dat.
  • Wyłącz usługę WMI (jeśli jest to możliwe w twoim środowisku), aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania w sieci.

Wskazówki dla wszystkich:

  • Zrób kopię zapasową swoich danych.
  • Nie płać okupu.

.