Вспышка плохого кролика-вымогателя: что нужно знать

Когда пришло известие о третьей крупной вспышке вымогателей в этом году, было много путаницы. Теперь, когда пыль осела, мы можем узнать, что такое «плохой кролик».

Согласно сообщениям СМИ, многие компьютеры были зашифрованы с помощью этой кибератаки. Публичные источники подтвердили, что компьютерные системы киевского метрополитена, одесского аэропорта и других многочисленных организаций из России пострадали. Вредоносным ПО, использованным для этой кибератаки, был «Disk Coder.D» — новый вариант программы-вымогателя, широко известный как «Петя». Предыдущая кибератада Disk Coder нанесла ущерб всему миру в июне 2017 года.

Система телеметрии ESET сообщает о многочисленных случаях использования Disk Coder. D Тем не менее, есть доказательства этой кибератаки на компьютеры из Турции, Болгарии и некоторых других стран России и Украины.

В настоящее время исследователи безопасности ESET проводят комплексный анализ этого вредоносного ПО. По их предварительным результатам, Disk Coder. D использует инструмент Mimikatz для извлечения учетных данных из уязвимых систем. Ваши результаты и анализы все еще продолжаются. Мы будем держать вас в курсе, когда станет известно больше деталей.

Телеметрическая система ESET также сообщает, что на Украину приходится всего 12,2% от общего числа проникновений "плохого кролика". Остальные статистические данные следуют:

Россия: 65%

Украина: 12,2%

Болгария: 10,2%

Турция: 6,4%

Япония: 3,8%

Другое: 2,4%

На распределение стран соответственно повлиял Плохой Кролик. Интересно, что все эти страны пострадали одновременно. Весьма вероятно, что группа уже закрепилась в сети заинтересованных организаций.

Это определенно вымогателей

Те, кому не повезло стать жертвой атаки, быстро поняли, что произошло, потому что вымогатель не был тонким — он подарил жертвам записку с требованием выкупа, в которой говорилось, что их файлы «больше недоступны» и «никто». сможет восстановить «их без нашего сервиса дешифрования». Пострадавшие будут перенаправлены на страницу оплаты Tor и получат таймер обратного отсчета. Оплата в течение первых 40 часов или около того и оплата за дешифрование файлов Биткойн стоит $ 0,05 — около $ 285. Если вы не заплатите выкуп до того, как таймер достигнет нуля, вам сообщат о плате, и вам придется платить больше. Для шифрования используется DiskCryptor, легитимный открытый код и программное обеспечение. это используется для полного шифрования диска. Ключи генерируются с помощью CryptGenRandom, а затем с помощью жестко закодированного открытого ключа RSA 2048 защищенный.

Он основан на Петя / Не Петя

Если записка о выкупе кажется знакомой, то это потому, что она почти идентична жертве вспышки в Пете в июне. Сходство не только косметическое — Плохой Кролик также делится элементами за кулисами с Петей.

Анализ, проведенный исследователями Crowdstrike, показал, что Bad Rabbit и DLL-библиотека NotPetya (Dynamic Link Library) совместно используют 67 процентов одного и того же кода, что указывает на то, что два варианта вымогателей тесно связаны, возможно, даже работа одного и того же кода. угроза актер.

Атака ударила по громким организациям в России и Восточной Европе

Исследователи обнаружили длинный список стран, которые стали жертвами вспышки, включая Россию, Украину, Германию, Турцию, Польшу и Южную Корею. Три медиа-организации в России и российское информационное агентство "Интерфакс" объявили о вредоносном ПО или "хакерских атаках", которые кампания отключит. Другими известными организациями в пострадавших регионах являются Одесский международный аэропорт и Киевский метрополитен. Это побудило Украинское агентство реагирования на чрезвычайные ситуации опубликовать информацию о том, что «возможное начало новой волны кибератак на украинские информационные ресурсы» уже произошло.

Направления могут быть выбраны

Когда WannaCry сломался, системы по всему миру подверглись очевидной неизбирательной атаке. Плохой Кролик, с другой стороны, может быть нацелен на корпоративные сети.

Исследователи ESET подтвердили эту идею, утверждая, что сценарий, вставленный в зараженные веб-сайты, может определить, представляет ли посетитель интерес, а затем добавить страницу контента — если цель считается подходящей для заражения.

Распространяется через фальшивое обновление на скомпрометированных сайтах

Основной способ распространения Bad Rabbit — это скачивание с диска на взломанных веб-сайтах. Никакие эксплойты не используются, но посетителям скомпрометированных веб-сайтов, некоторые из которых были скомпрометированы с июня, рекомендуется установить флэш-обновление. Конечно, это не флэш-обновление, а дроппер для вредоносной установки. Зараженные сайты — в основном в России, Болгарии и Турции — рискуют вставить JavaScript в свой HTML-текст или в один из своих файлов .js.

Он может распространяться в поперечном направлении по сетям

Как и Петя, атака вымогателей Bad Rabbit содержит компонент SMB, который позволяет ему перемещаться вброд через зараженную сеть и распространяться без вмешательства пользователя.

Распространению плохого кролика способствуют простые комбинации имени пользователя и пароля, которые можно использовать для проникновения в сети. Этот список слабых паролей является часто видимым, легко угадываемым паролем, например, B. 12345 комбинаций или установка пароля в качестве «пароля».

EternalBlue не используется

Когда Bad Rabbit впервые появился, некоторые предположили, что, как и WannaCry, он использовал эксплойт EternalBlue для распространения. Однако, похоже, сейчас это не так. «В настоящее время у нас нет доказательств того, что эксплойт EternalBlue используется для распространения инфекции», — заявил ZDNet Мартин Ли, руководитель исследования безопасности в Talos.

Содержит ссылки на Game of Thrones

Тот, кто стоит за «Плохим кроликом», похоже, фанат «Игры престолов»: в коде содержатся ссылки на Висериона, Дрогона и Рейгала, драконов, которые появляются в телесериале, и романы, на которых он основан. Таким образом, авторы кода не делают много, чтобы изменить стереотипное представление о хакерах, как гиках и ботаниках.

Есть шаги, которые вы можете предпринять для обеспечения безопасности

В настоящее время никто не знает, можно ли расшифровать файлы, заблокированные Bad Rabbit. Некоторые могут предложить заплатить выкуп и посмотреть, что происходит … плохая идея.

Разумно полагать, что за потенциально очень важные и бесценные файлы стоит заплатить почти 300 долларов. Однако выплата выкупа почти никогда не восстанавливает доступ и не помогает в борьбе с вымогателями — злоумышленник будет продолжать прицеливаться до тех пор, пока он не увидит отдачу.

Ряд поставщиков услуг безопасности заявляют, что их продукты защищают от плохого кролика. По данным «Лаборатории Касперского», для тех, кто хочет быть уверенным в том, что они не подвержены потенциальной атаке, пользователи могут заблокировать выполнение файла «c: windows infpub.dat, C: Windows cscc» .dat. & # 39; предотвратить инфекцию.

Вспышка плохого кролика-вымогателя: что нужно знать

Вспышка плохого кролика-вымогателя: что нужно знать

Добавить комментарий