Изображение: Касперский
В третьей крупной вспышке вымогательства в году, Bad Rabbit заразил ряд крупных целей в разных странах. Новое вымогательское ПО, BadRabbit блокирует файлы и требует выкуп, но эксперты предупреждают жертв, чтобы они не платили выкуп, поскольку они, вероятно, в любом случае не получат доступ к данным.
После WannaCry и Petya новое вымогательство Bad Rabbit, похоже, стало еще одним вариантом Petya, поразившим ряд известных организаций в России, Украине и Европе. По сообщениям, по меньшей мере три организации СМИ и несколько финансовых институтов пострадали от “Кролика”. Во вторник вымогатели начали заражать системы во вторник, нанося удары по нескольким организациям так же, как и вспышки WannaCry и Petya в начале этого года.
Netflix подписывает контракт с создателями GoT, но сколько еще он может потратить?
На кого влияет BadRabbit?
Плохой кролик с одноименным названием шифрует данные перед тем, как потребовать выплаты в размере 0,05 биткойн (275 долларов на момент написания). В записке о выкупе также имеется таймер обратного отсчета с более чем 41 часа, предупреждающий пользователя о необходимости оплаты в течение этого времени или о повышении выкупа. В число известных организаций, затронутых этой вспышкой, входят:
- Русская медиа организация Интерфакс
- Fontanka.ru
- Одесский международный аэропорт
- Платежные системы на киевском метро
- Министерство инфраструктуры Украины
На сегодняшний день в отчетах упоминается более 200 организаций-жертв в следующих странах:
- Россия
- Украина
- Турция
- Польша
- Южная Корея
- Германия
- Болгария
- Соединенные Штаты
«Телеметрия ESET обнаружила сотни случаев использования Diskcoder.D. Большинство обнаружений происходит в России и Украине, однако также имеются сообщения о компьютерах в Турции, Болгарии и других странах», – говорит ESET, одна из охранных фирм, осуществляющая мониторинг. вспышка сказала.
В своем отчете исследователи «Лаборатории Касперского» заявили, что последняя атака похожа на Петю. «Согласно нашему исследованию, это целенаправленная атака на корпоративные сети с использованием методов, аналогичных тем, которые использовались при атаке ExPetr», – сказал Касперский.
Samsung Galaxy Fold выпускает игру «Игра престолов», которая в четыре раза дороже обычной версии
Shocker (или нет) – распространяется через поддельные обновления Flash Player
Хотя такого рода вспышка может свидетельствовать о том, что злоумышленники воспользовались уязвимостью безопасности, на самом деле это не так. Плохой Кролик в основном распространяется через скачивание через инфицированные сайты. Посетителям этих веб-сайтов, которые были скомпрометированы с июня, предлагается установить обновление Flash Player, а затем вместо обновления Flash Player вредоносное ПО удаляется на устройства-жертвы.
Похоже, что злоумышленники из #Badrabbit были заняты настройкой своей сети заражения на взломанных сайтах, по крайней мере, с июля 2017 года. pic.twitter.com/fV5U1FeVtR
– Костин Райу (@craiu) 24 октября 2017 г.
В своем отчете Cisco Talos пишет, что «с высокой степенью уверенности оценивает, что поддельное обновление Flash Player доставляется через системы с загрузкой и компрометацией». Он добавил, что «сайты, которые были замечены перенаправляющими на Bad Rabbit, были множеством сайтов, базирующихся в России, Болгарии и Турции».
Это еще один пример того, как эффективные вымогатели могут быть доставлены с использованием вторичных методов распространения, таких как SMB для распространения. В этом примере начальный вектор не был сложной атакой цепочки поставок. Вместо этого это была базовая система «Drive-by-Download», использующая скомпрометированные сайты. Это быстро становится новой нормой для ландшафта угроз. Угрозы распространяются быстро, за короткое время, нанося максимальный урон.
Оказавшись внутри, BadRabbit может распространяться в боковом направлении через сеть, распространяясь дальше без взаимодействия с пользователем. Исследователи отмечают, что вымогатель также легко распространяется благодаря простым комбинациям имени пользователя и пароля, грубо пробираясь по всей сети.
Нет, не несет EternalBlue
В то время как способность Bad Rabbit распространяться по сетям может напоминать некоторым читателям о печально известном эксплойте EternalBlue, который был отброшен Shadow Brokers в начале этого года из их эксклюзивного комплекта NSA и использовался во многих вымогательных и вредоносных программах, Bad Rabbit не использует этот конкретный подвиг. «В настоящее время у нас нет доказательств того, что эксплойт EternalBlue используется для распространения инфекции», – говорят исследователи Cisco Talos.
На данный момент неясно, кто стоит за этой последней вспышкой вымогателей. Исследователи, отслеживающие ситуацию, говорят, что сходство между Петей и Плохим Кроликом может означать, что за обеими кампаниями стоит одна и та же группа, но в любом случае это не помогает, так как никто не может идентифицировать тех, кто стоит за Петей. Ношение ссылок на Game of Thrones (все три имени дракона где-то используются в коде) тоже не помогает, поскольку телесериал популярен во всем мире.
Вакцина для плохого кролика прибывает …
Kaspersky и другие исследователи безопасности предложили корпоративным пользователям заблокировать выполнение файлов “c: \ windows \ infpub.dat” и “C: \ Windows \ cscc.dat”, чтобы предотвратить заражение.
Я могу подтвердить – прививка для #badrabbit:
Создайте следующие файлы c: windowsinfpub.dat && c: windowscscc.dat – удалите ВСЕ РАЗРЕШЕНИЯ (наследование), и вы теперь вакцинированы. 🙂 pic.twitter.com/5sXIyX3QJl
– Амит Серпер (@ 0xAmit) 24 октября 2017 г.
Группа по готовности к компьютерным чрезвычайным ситуациям в США (US-CERT) рекомендовала жертвам не выплачивать выкуп, если они влюбляются в BadRabbit. «US-CERT не рекомендует частным лицам и организациям выплачивать выкуп, поскольку это не гарантирует восстановления доступа», – говорится в сообщении. «Использование не исправленного и неподдерживаемого программного обеспечения может увеличить риск распространения угроз кибербезопасности, таких как вымогатели».