Криптотрейдинг: прибыльная торговля криптовалютой.
Июн 1, 2019
49 Views
Комментарии к записи Epic Bad Rabbit Ransomware: что нужно знать отключены

Epic Bad Rabbit Ransomware: что нужно знать

Written by
Биткоин: краткое руководство

Когда появились новости о третьей крупной вспышке вымогателей в этом году, было много путаницы. Теперь, когда пыль осела, мы можем углубиться в то, что именно является «Плохой Кролик».

Согласно сообщениям СМИ, многие компьютеры были зашифрованы с помощью этой кибератаки. Публичные источники подтвердили, что это касается компьютерных систем киевского метро и одесского аэропорта, а также других многочисленных организаций из России. Вредоносным программным обеспечением, использованным в этой кибератаке, был «Disk Coder.D» — новый вариант вымогателей, который был широко известен как «Петя». Предыдущая кибератака Disk Coder нанесла глобальный ущерб в июне 2017 года.

Система телеметрии ESET сообщила о многих случаях использования дискового кодера. Однако в России и на Украине кибератака была обнаружена на компьютерах из Турции, Болгарии и ряда других стран.

В настоящее время исследователи безопасности ESET разрабатывают комплексный анализ этого вредоносного ПО. По их предварительным данным, Disk Coder. D использует инструмент Mimikatz для извлечения учетных данных из уязвимых систем. Их выводы и анализ находятся в стадии разработки, и мы сообщим вам, как только появится дополнительная информация.

Телеметрическая система ESET также сообщает, что на Украину приходится только 12,2% от общего числа проникновений "плохого кролика". Вот другая статистика:

Россия: 65%

Украина: 12,2%

Болгария: 10,2%

Турция: 6,4%

Япония: 3,8%

Другое: 2,4%

Распределение стран было скомпрометировано Плохим Кроликом. Интересно, что все эти страны пострадали одновременно. Вполне вероятно, что группа уже вошла в сеть пострадавших организаций.

Это определенно вымогателей

Те, кто стал несчастными жертвами атаки, быстро поняли, что произошло, потому что вымогатель не был тонким — он представляет записку с требованием выкупа, в которой они сообщают, что их файлы «больше не доступны» и «никто не доступен» сможет восстановить их без нашего сервиса расшифровки. " Жертвы направляются на страницу оплаты Tor и получают таймер обратного отсчета. Говорят, что вы заплатите в первые 40 часов, а плата за расшифровку файлов составляет 0,05 биткойн — около 285 долларов США. Говорят, что те, кто не платит выкуп до нуля, получат плату и должны будут платить больше. Шифрование использует DiskCryptor, который является законным программным обеспечением с открытым исходным кодом для полного шифрования диска. Ключи генерируются с использованием CryptGenRandom и затем защищаются открытым ключом RSA 2048.

Он основан на Петя / Не Петя

Если информация о выкупе выглядит знакомой, то это потому, что она практически идентична жертве июньской эпидемии Пети. Сходство не только косметическое — Bad Rabbit также разделяет петунию за кулисами.

Анализ, проведенный исследователями из Crowdstrike, показал, что DLL-библиотека Bad Rabbit и NotPetya (библиотека динамических ссылок) имеют 67 процентов одного и того же кода, что указывает на то, что два варианта вымогателей тесно связаны, потенциально даже работая с одним и тем же действующим лицом угрозы ,

Атака поразила известные организации в России и Восточной Европе

Исследователи обнаружили длинный список стран, которые стали жертвами эпидемий — в том числе Россия, Украина, Германия, Турция, Польша и Южная Корея. Три медиа-организации в России, а также российское информационное агентство Интерфакс объявили вредоносное программное обеспечение, шифрующее файлы или «хакерские атаки», которые были переданы в автономном режиме в ходе кампании. Другие известные организации в пострадавших регионах включают Одесский международный аэропорт и Киевский метрополитен. Это привело к ситуации, в которой компьютерная служба реагирования Украины на чрезвычайные ситуации объявила о «возможном начале новой волны кибератак на информационные ресурсы Украины».

Он мог бы выбрать цели

Когда разразился WannaCry, системы по всему миру подверглись очевидной некритической атаке. С другой стороны, Bad Rabbit был в состоянии предназначаться для корпоративных сетей.

Исследователи из ESET поддержали эту идею, утверждая, что сценарий, внедренный в зараженные веб-сайты, может определить, заинтересован ли посетитель, а затем добавить страницу контента — если цель считается подходящей для заражения.

Он распространяется через поддельное обновление Flash на зараженных сайтах

Основным методом распространения Bad Rabbit является загрузка с диска через взломанные сайты. Никакие эксплойты не используются, скорее посетители зараженных веб-сайтов — некоторые из них были взломаны с июня — говорят, что они должны установить обновление Flash. Конечно, это не обновление Flash, а дроппер для вредоносных установок. Зараженные веб-сайты, в основном базирующиеся в России, Болгарии и Турции, уязвимы для атак из-за внедрения JavaScript в HTML-контент или один из их файлов .js.

Может распространяться по сети

Как и Петя, атака Bad Rabbit Ransomware содержит компонент SMB, который позволяет ему перемещаться по зараженной сети и распространяться без вмешательства пользователя.

Распространять Bad Rabbit легко благодаря простым комбинациям имен пользователей и паролей, которые они могут использовать для проникновения в сети. Этот список слабых паролей часто является легко угадываемым паролем — например, 12345 комбинаций или пароль, установленный как «пароль».

Не использует EternalBlue

Когда Bad Rabbit появился впервые, некоторые предположили, что, подобно WannaCry, он использовал для распространения эксплойт EternalBlue. Однако сейчас кажется, что это не так. «В настоящее время у нас нет доказательств того, что эксплойт EternalBlue используется для распространения инфекции», — сказал ZDNet Martin, технический менеджер исследований безопасности в Talos.

Включает ссылки на игру престолов

Тот, кто стоит за «Плохим кроликом», похоже, фанат «Игры престолов»: код содержит ссылки на Висериона, Дрогона и Рейгала, драконов, которые появляются в телесериалах, и романы, на которых он основан. Авторы кодекса мало что делают, чтобы изменить стереотипное представление о хакерах-гиках и чайках.

Есть шаги, которые вы можете предпринять, чтобы оставаться в безопасности

На данный момент никто не знает, возможно ли расшифровать файлы, заблокированные Bad Rabbit. Некоторые могут предложить заплатить выкуп и посмотреть, что произойдет … Плохая идея.

Вполне разумно думать, что платить почти 300 долларов — это стоить платить за очень важные и бесценные файлы, но выплата выкупа почти никогда не приводит к восстановлению доступа или помощи в борьбе с вымогателями — злоумышленник все равно будет добиваться успеха, пока они видят возвращение.

Многие провайдеры безопасности утверждают, что их продукты защищают от Bad Rabbit. Но для тех, кто хочет быть уверен, что они не станут жертвами атаки, «Лаборатория Касперского» утверждает, что пользователи могут заблокировать выполнение файла c: windows pub.dat, C: Windows cscc.dat. предотвратить инфекцию.

Article Categories:
Криптовалюта
Как устроен блокчейн

Comments are closed.