Zlý králík: Nová epidemie ransomwaru je na vzestupu

BY admin
|

Příspěvek aktualizujeme podle toho, jak naši odborníci zjišťují nové podrobnosti o malwaru.

V letošním roce jsme již zaznamenali dva rozsáhlé útoky ransomwaru – mluvíme o nechvalně známém WannaCry a ExPetr (známém také jako Petya a NotPetya). Zdá se, že třetí útok je na vzestupu:

V tuto chvíli je známo, že ransomware Bad Rabbit infikoval několik velkých ruských médií, přičemž mezi potvrzenými oběťmi malwaru jsou i tisková agentura Interfax a portál Fontanka.ru. Mezinárodní letiště Oděsa informovalo o kybernetickém útoku na svůj informační systém, i když zatím není jasné, zda se jedná o stejný útok.

Zločinci stojící za útokem Bad Rabbit požadují jako výkupné 0,05 bitcoinu – to je podle současného kurzu zhruba 280 dolarů.

Podle našich zjištění se jedná o útok typu drive-by: Oběti si z infikovaných webových stránek stáhnou falešný instalační program Adobe Flash a ručně spustí soubor .exe, čímž se infikují. Naši výzkumníci zjistili řadu napadených webových stránek, vesměs zpravodajských nebo mediálních webů.

Podle našich údajů se většina obětí těchto útoků nachází v Rusku. Podobné, ale méně početné útoky jsme zaznamenali také na Ukrajině, v Turecku a Německu. Tento ransomware infikoval zařízení prostřednictvím řady hacknutých webových stránek ruských médií. Na základě našeho šetření se jedná o cílený útok na podnikové sítě, který využívá podobné metody jako útok ExPetr.

Naši odborníci shromáždili dostatek důkazů, které umožňují spojit útok Bad Rabbit s útokem ExPetr, k němuž došlo v červnu tohoto roku. Podle jejich analýzy byla část kódu použitého v útoku Bad Rabbit již dříve spatřena v útoku ExPetr.

Další podobnosti zahrnují stejný seznam domén použitých pro útok drive-by (některé z těchto domén byly hacknuty již v červnu, ale nebyly použity) a také stejné techniky použité pro šíření malwaru v podnikových sítích – oba útoky k tomuto účelu používaly příkazový řádek WMIC (Windows Management Instrumentation Command-line). Je tu však jeden rozdíl: Na rozdíl od ExPetru nepoužívá Bad Rabbit k infekci exploit EternalBlue. Používá však exploit EternalRomance k bočnímu pohybu v místní síti.

Naši odborníci se domnívají, že za oběma útoky stojí stejný aktér hrozeb a že tento aktér připravoval útok Bad Rabbit již v červenci 2017, nebo dokonce dříve. Na rozdíl od ExPetru se však zdá, že Bad Rabbit není wiper, ale pouze ransomware: zašifruje soubory některých typů a nainstaluje upravený zavaděč, čímž zabrání normálnímu spuštění počítače. Protože se nejedná o wiper, záškodníci, kteří za ním stojí, mají potenciálně možnost dešifrovat heslo, které je naopak potřebné k dešifrování souborů a umožnění spuštění operačního systému počítače.

Naneštěstí podle našich odborníků neexistuje způsob, jak získat zašifrované soubory zpět bez znalosti šifrovacího klíče. Pokud však Bad Rabbit z nějakého důvodu nezašifroval celý disk, je možné soubory získat zpět ze stínových kopií (pokud byly stínové kopie před infekcí povoleny). Pokračujeme ve vyšetřování. Mezitím můžete najít další technické podrobnosti v tomto příspěvku na Securelistu.

Produkty Kaspersky Lab detekovaly útok s následujícími verdikty:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Generic
  • PDM:Trojan.Win32.Generic
  • Intrusion.Win.CVE-2017-0147.sa.leak

Abyste se nestali obětí BadRabbit:

Uživatelé produktů Kaspersky Lab:

  • Ujistěte se, že máte spuštěný System Watcher a Kaspersky Security Network. Pokud ne, je nezbytné tyto funkce zapnout.

Ostatní uživatelé:

  • Zablokujte spouštění souborů c:windowsinfpub.dat a c:Windowscscc.dat.
  • Zakázat službu WMI (pokud je to ve vašem prostředí možné), abyste zabránili šíření škodlivého softwaru po síti.

Tipy pro všechny:

  • Zálohujte svá data.
  • Neplaťte výkupné.

Zálohujte svá data.