Bad Rabbit: En ny utpressningsepidemi är på frammarsch

BY admin
|

Inlägget uppdateras när våra experter hittar nya detaljer om skadlig kod.

Vi har redan sett två storskaliga utpressningsattacker i år – det handlar om de ökända WannaCry och ExPetr (även känd som Petya och NotPetya). Det verkar som om en tredje attack är på väg att ta fart: Det nya skadliga programmet heter Bad Rabbit – åtminstone är det namnet som anges på den darknet-webbplats som länkas till i lösensumman.

Vad som är känt för tillfället är att Bad Rabbit ransomware har infekterat flera stora ryska medier, med nyhetsbyrån Interfax och Fontanka.ru bland de bekräftade offren för det skadliga programmet. Odessas internationella flygplats har rapporterat om en cyberattack mot sitt informationssystem, men om det är samma attack är ännu oklart.

De kriminella bakom Bad Rabbit-attacken kräver 0,05 bitcoin som lösensumma – det motsvarar ungefär 280 dollar enligt den nuvarande växelkursen.

Enligt våra resultat är det en drive-by-attack: Offren laddar ner ett falskt installationsprogram för Adobe Flash från infekterade webbplatser och startar manuellt exe-filen, vilket gör att de infekterar sig själva. Våra forskare har upptäckt ett antal komprometterade webbplatser, alla nyhets- eller mediesajter.

Enligt våra uppgifter befinner sig de flesta offren för dessa attacker i Ryssland. Vi har också sett liknande men färre attacker i Ukraina, Turkiet och Tyskland. Detta utpressningstrojaner har infekterat enheter via ett antal hackade ryska mediasajter. Enligt vår undersökning är detta en riktad attack mot företagsnätverk, med metoder som liknar dem som användes i ExPetr-attacken.

Våra experter har samlat in tillräckligt med bevis för att koppla Bad Rabbit-attacken till ExPetr-attacken, som skedde i juni i år. Enligt deras analys har en del av den kod som användes i Bad Rabbit tidigare upptäckts i ExPetr.

Andra likheter inkluderar samma lista över domäner som användes för drive-by-attacken (några av dessa domäner hackades redan i juni men användes inte) samt samma tekniker som användes för att sprida skadlig kod i företagsnätverk – båda attackerna använde sig av Windows Management Instrumentation Command-line (WMIC) för detta ändamål. Det finns dock en skillnad: Till skillnad från ExPetr använder Bad Rabbit inte EternalBlue-exploiten för infektionen. Men den använder EternalRomance-exploiten för att förflytta sig lateralt i det lokala nätverket.

Våra experter tror att samma hotbildsaktör ligger bakom båda attackerna och att denna hotbildsaktör förberedde Bad Rabbit-attacken i juli 2017, eller till och med tidigare. Till skillnad från ExPetr verkar Bad Rabbit dock inte vara en wiper, utan bara ett utpressningstrojaner: Det krypterar filer av vissa typer och installerar en modifierad bootloader, vilket gör att datorn inte kan starta upp normalt. Eftersom det inte är en wiper har de illasinnade bakom potentiellt möjlighet att dekryptera lösenordet, som i sin tur behövs för att dekryptera filer och låta datorn starta upp operativsystemet.

Tyvärr säger våra experter att det inte finns något sätt att få tillbaka de krypterade filerna utan att känna till krypteringsnyckeln. Men om Bad Rabbit av någon anledning inte krypterade hela disken är det möjligt att hämta filerna från skuggkopiorna (om skuggkopiorna var aktiverade före infektionen). Vi fortsätter vår undersökning. Under tiden kan du hitta mer tekniska detaljer i det här inlägget på Securelist.

Kaspersky Labs produkter upptäcker attacken med följande domar:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM:Trojan.Win32.Generic
  • Intrusion.Win.CVE-2017-0147.sa.leak

För att undvika att bli offer för Bad Rabbit:

Användare av Kaspersky Lab-produkter:

  • Säkerställ att du har System Watcher och Kaspersky Security Network igång. Om inte är det viktigt att aktivera dessa funktioner.

Andra användare:

  • Blockerar utförandet av filerna c:windowsinfpub.dat och c:Windowscscc.dat.
  • Disaktivera WMI-tjänsten (om det är möjligt i din miljö) för att förhindra att skadlig kod sprids i nätverket.

Tips för alla:

  • Backupera dina data.
  • Betala inte lösensumman.