Bad Rabbit: O nouă epidemie de ransomware este în creștere

Postul este actualizat pe măsură ce experții noștri găsesc noi detalii despre malware.

Am asistat deja la două atacuri ransomware la scară largă în acest an – este vorba despre faimoasele WannaCry și ExPetr (cunoscut și sub numele de Petya și NotPetya). Se pare că un al treilea atac este în creștere: Noul malware se numește Bad Rabbit – cel puțin, acesta este numele indicat de site-ul darknet legat în nota de răscumpărare.

Ceea ce se știe în acest moment este că ransomware-ul Bad Rabbit a infectat mai multe instituții media rusești mari, agenția de știri Interfax și Fontanka.ru fiind printre victimele confirmate ale malware-ului. Aeroportul Internațional Odessa a raportat un atac cibernetic asupra sistemului său informatic, deși nu este încă clar dacă este vorba de același atac.

Criminalii din spatele atacului Bad Rabbit cer ca răscumpărare 0,05 bitcoin – ceea ce înseamnă aproximativ 280 de dolari la cursul de schimb actual.

Potrivit constatărilor noastre, este vorba de un atac drive-by: Victimele descarcă un program fals de instalare Adobe Flash de pe site-uri web infectate și lansează manual fișierul .exe, infectându-se astfel singure. Cercetătorii noștri au detectat o serie de site-uri web compromise, toate site-uri de știri sau media.

Conform datelor noastre, cele mai multe dintre victimele acestor atacuri se află în Rusia. De asemenea, am observat atacuri similare, dar mai puține, în Ucraina, Turcia și Germania. Acest ransomware a infectat dispozitive prin intermediul unui număr de site-uri media rusești piratate. Pe baza investigațiilor noastre, acesta este un atac țintit împotriva rețelelor corporatiste, folosind metode similare cu cele utilizate în atacul ExPetr.

Experții noștri au colectat suficiente dovezi pentru a lega atacul Bad Rabbit de atacul ExPetr, care a avut loc în luna iunie a acestui an. Conform analizei lor, o parte din codul folosit în Bad Rabbit a fost reperat anterior în ExPetr.

Alte asemănări includ aceeași listă de domenii folosite pentru atacul drive-by (unele dintre aceste domenii au fost piratate în iunie, dar nu au fost folosite), precum și aceleași tehnici folosite pentru răspândirea malware-ului în rețelele corporative – ambele atacuri au folosit Windows Management Instrumentation Command-line (WMIC) în acest scop. Cu toate acestea, există o diferență: Spre deosebire de ExPetr, Bad Rabbit nu folosește exploit-ul EternalBlue pentru infectare. Ci folosește exploit-ul EternalRomance pentru a se deplasa lateral în rețeaua locală.

Experții noștri cred că același actor de amenințări se află în spatele ambelor atacuri și că acest actor de amenințări pregătea atacul Bad Rabbit încă din iulie 2017, sau chiar mai devreme. Cu toate acestea, spre deosebire de ExPetr, Bad Rabbit pare să nu fie un wiper, ci doar un ransomware: criptează fișiere de anumite tipuri și instalează un bootloader modificat, împiedicând astfel pornirea normală a PC-ului. Deoarece nu este un wiper, răufăcătorii din spatele său au potențial capacitatea de a decripta parola, care, la rândul ei, este necesară pentru a decripta fișierele și a permite calculatorului să pornească sistemul de operare.

Din păcate, experții noștri spun că nu există nicio modalitate de a recupera fișierele criptate fără a cunoaște cheia de criptare. Cu toate acestea, dacă din anumite motive Bad Rabbit nu a criptat întregul disc, este posibil să recuperați fișierele din copiile umbrite (dacă copiile umbrite au fost activate înainte de infectare). Ne continuăm investigația. Între timp, puteți găsi mai multe detalii tehnice în această postare pe Securelist.

Produsele Kaspersky Lab detectează atacul cu următoarele verdicte:

• Trojan-Ransom.Win32.Gen.ftl
• Trojan-Ransom.Win32.BadRabbit
• DangerousObject.Multi.Generic
• PDM:Trojan.Win32.Generic
• Intrusion.Win.CVE-2017-0147.sa.leak

Pentru a evita să deveniți o victimă a lui Bad Rabbit:

Utilizatorii de produse Kaspersky Lab:

• Asigurați-vă că aveți System Watcher și Kaspersky Security Network în funcțiune. Dacă nu, este esențial să activați aceste caracteristici.

Alți utilizatori:

• Blocați executarea fișierelor c:windowsinfpub.dat și c:Windowscscc.dat.
• Dezactivați serviciul WMI (dacă este posibil în mediul dvs.) pentru a preveni răspândirea malware-ului în rețea.

Consiliere pentru toată lumea:

• Realizați o copie de siguranță a datelor.
• Nu plătiți răscumpărarea.

.