Ransomware Bad Rabbit w natarciu

27 października, 2017

Bad Rabbit ujawnił się 24 października, głównie u naszych wschodnich sąsiadów — w Rosji i na Ukrainie. Pewną liczbę ataków odnotowano również w innych krajach Europy wschodniej, a także Niemczech i Turcji. Oczywiście jak to zwykle bywa w takich sytuacjach, kolejne ofiary ataku są lokalizowane w innych miejscach na świecie np. w USA i Korei Południowej.

Ofiarami ataku padło między innymi metro w Kijowie, lotnisko w Odessie, rosyjskie Interfax, Fontanka i inne agencje prasowe. Autor lub autorzy ransomware wciąż pozostają w cieniu i pomimo pewnych podejrzeń nie zostali wskazani. Atakujący usuwali ślady swojej działalności z zainfekowanych serwerów w momencie podejmowania przez badaczy z różnych firm analizowania szkodliwego kodu.

mapa zasiegu infekcji
Mapa rozprzestrzenienia się ransomare Bad Rabbit. Źródło.

Bad Rabbit rozprzestrzeniał się poprzez spreparowane kopie Flash Player’a, pobrane z zainfekowanych stron. Drugą metodą pobierania szkodnika jest technika wodopoju (ang. watering hole attack), gdzie przestępcy za cel obierają grupę użytkowników, a docierają do niej poprzez zainfekowanie jednego z nich uzyskując dostęp do sieci (np. w miejscu zatrudnienia).

Po zainstalowaniu ransomware wykrada hasła i nazwę użytkownika oraz oczywiście szyfruje pliki. Co ciekawe w przeciwieństwie do „konkurencji”, Bad Rabbit nie zmienia nazw zaszyfrowanych plików. Analitycy odkryli również, że listowane są adresy IP w podsieci, prawdopodobnie w celu odnalezienia adresu serwera internetowego.

Według części badaczy Bad Rabbit może być klonem lub wariantem znanego ransomware (not)Petya. Wykazywane są tutaj dość znaczące różnice, jak np. brak wykorzystania EternalBlue i DoublePulsar. Omawiany ransomware używa Mimikatz’a oraz wbudowanej listy domyślnych użytkowników i haseł.

Żądania finansowe autorów Bad Rabbit można uznać za niezbyt wygórowane, żądają 0,05 Bitcoin’a lub około 275 dolarów amerykańskich.

zadanie okupu
Informacja z żądaniem okupu.

Microsoft przygotował też krótki artykuł mówiący jak można się chronić. Pojawiła się też informacja o szczepionce, według której wystarczy stworzyć dwa pliki c:\windows\infpub.dat oraz c:\windows\cscc.dat (i przy okazji usunąć im wszystkie uprawnienia).

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]