Mayday! Mayday! Kolejny wybuch nowego oprogramowania ransomware uderzył w główną infrastrukturę Ukrainy i Rosji, w tym kilka organizacji transportowych, a także wiele organizacji rządowych i działa pod nazwą „Bad Rabbit” .
Zgodnie z doniesieniami mediów, wiele komputerów zostało zaszyfrowanych za pomocą tego cyberataku. Źródła publiczne potwierdziły, że dotyczy to systemów komputerowych Kijowskiego metra oraz lotniska w Odessie, a także innych licznych organizacji z Rosji.
Złośliwym oprogramowaniem wykorzystywanym w tym ataku cybernetycznym był „Disk Coder.D” - nowy wariant oprogramowania ransomware, popularnie zwanego „Petya”. Poprzedni atak cybernetyczny przeprowadzony przez Disk Coder wyrządził szkody w skali globalnej w czerwcu 2017 roku.
ESET o Bad Rabbit.
System telemetryczny firmy ESET zgłosił wiele wystąpień programu Disk Coder. Jednak w Rosji i na Ukrainie wykryto cyberatak na komputery z Turcji, Bułgarii i kilku innych krajów.
Kompleksowa analiza tego złośliwego oprogramowania jest obecnie opracowywana przez badaczy bezpieczeństwa ESET. Zgodnie z ich wstępnymi ustaleniami, Disk Coder. D używa narzędzia Mimikatz, aby wyodrębnić poświadczenia z systemów, których dotyczy problem. Ich ustalenia i analizy są w toku, a my będziemy Cię informować, gdy tylko zostaną ujawnione dalsze szczegóły.
System telemetryczny ESET informuje również, że Ukraina stanowi tylko 12, 2% w stosunku do całkowitej liczby przypadków infiltracji Bad Rabbit. Oto pozostałe statystyki:
- Rosja: 65%
- Ukraina: 12, 2%
- Bułgaria: 10, 2%
- Turcja: 6, 4%
- Japonia: 3, 8%
- Inne: 2, 4%
Wspomniana dystrybucja krajów została odpowiednio naruszona przez Bad Rabbit. Co ciekawe, wszystkie te kraje zostały trafione w tym samym czasie. Jest całkiem prawdopodobne, że grupa już miała swoją stopę w sieci dotkniętych organizacji.
Jak.
Metodą dystrybucji używaną w Bad Rabbit jest „Drive-By Download”. Mówiąc prościej, pobieranie z dysku jest niezamierzonym wyskakującym oknem pobierania wyświetlanym na stronach internetowych lub e-mailach. W tych przypadkach „dostawca” twierdzi, że użytkownik „zgodził się” na ten konkretny plik do pobrania, chociaż użytkownik faktycznie był całkowicie nieświadomy tego, że zaczął pobierać niechciane lub złośliwe oprogramowanie.
Podobnie w przypadku Bad Rabbit do tej pory widzieliśmy pop-up z prośbą o pobranie zaktualizowanej wersji Adobe Flash Player, jak pokazano poniżej.
Gdy tylko ktoś kliknie przycisk pobierania, pobierany jest plik wykonywalny. Ten plik wykonywalny tj. Install_flash_player.exe to dropper dla Bad Rabbit. Ostatecznie komputer blokuje się i pokazuje okup w następujący sposób.
Ponadto strona płatności Bad Rabbit wygląda mniej więcej tak.
Poniżej znajdują się zainfekowane strony internetowe.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // an-crimearu
- hxxp: //www.t.ksua
- hxxp: // większość-dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Co teraz?
Ataki cybernetyczne przekształciły się dziś w wiele twarzy. Internet nie jest już bezpiecznym miejscem, dlatego zdecydowanie zaleca się korzystanie z autentycznej sieci VPN; zwłaszcza przy podłączaniu do publicznego Wi-Fi.
Stwórz bezpiecznie zaszyfrowany tunel między Tobą a Internetem dzięki wiodącemu w branży dostawcy usług VPN, Ivacy VPN i przejąć kontrolę nad swoją obecnością online i chronić swoje cenne dane.