24/10/2017

Bad Rabbit: nowa epidemia ransomware

Zagrożenia

Ten post jest na bieżąco uaktualniany w miarę pojawiania się nowych informacji.

W 2017 roku byliśmy świadkami już dwóch epidemii szkodliwych programów szyfrujących dane dla okupu (czyli tzw. ransomware) – mowa o głośnych atakach WannaCry oraz ExPetr (lub inaczej Petya albo NotPeyta). Wygląda na to, że mamy do czynienia z trzecim. Nazwa szkodnika to Bad Rabbit, a przynajmniej tak nazywany jest on przez samych atakujących.

Jeżeli chodzi o ofiary, na chwilę obecną wiadomo o atakach na kilka rosyjskich mediów, w tym Interfax i Fontanka. Pojawiły się także doniesienia o atakach, prawdopodobnie tego samego szkodliwego programu, na lotnisko w Odessie.

Za odszyfrowanie danych atakujący żądają 0,05 bitcoina, czyli równowartość około 280 dolarów przy obecnej wartości tej kryptowaluty.

Według wyników naszego badania jest to atak typu drive-by: ofiara pobiera fałszywy instalator programu Adobe Flash z jednej z zainfekowanych stron i ręcznie uruchamia plik .exe, co doprowadza do infekcji. Nasi badacze wykryli wiele zainfekowanych stron, wszystkie były z obszaru informacyjnego lub miały związek z mediami.

Szczegóły odnośnie ataku i sposobu rozprzestrzeniania tego szkodliwego programu nie są jeszcze znane. Nie wiadomo także, czy możliwe jest odszyfrowanie danych bez płacenia okupu (zapłacenie go także nie gwarantuje odzyskania informacji). Eksperci z Kaspersky Lab badają nowy atak i będziemy na bieżąco informować o pojawianiu się nowych informacji.

Większość ofiar jest zlokalizowana w Rosji, jednak obserwujemy także ataki na Ukrainie, w Turcji i Niemczech (gdzie są one mniej intensywne). Szkodliwe oprogramowanie rozprzestrzenia się najprawdopodobniej przez zainfekowane strony rosyjskich mediów. Wstępna analiza wskazuje, że mamy do czynienia z atakiem ukierunkowanym na sieci firmowe.

Nasi badacze zgromadzili wystarczająco wiarygodny dowód, aby powiązać atak Bad Rabbit z atakiem ExPetr, który miał miejsce w czerwcu tego roku: analiza wykazała podobieństwo kodu użytego w zagrożeniu Bad Rabbit z kodem zagrożenia ExPetr.

Wśród innych podobieństw znalazła się ta sama lista domen użytych do ataku drive-by (część z nich zhakowano w czerwcu, lecz nie zostały one użyte), jak również te same techniki użyte do rozprzestrzeniania szkodliwego oprogramowania poprzez sieci firmowe — w obu atakach wykorzystano do tego celu narzędzie Windows Management Instrumentation Command-line (WMIC). Istnieje jednak jedna różnica: Bad Rabbit nie wykorzystuje exploita EternalBlue — ani żadnego innego.

Według naszych ekspertów za atakami tymi stoi ten sam aktor, który przygotowywał atak z użyciem zagrożenia Bad Rabbit przed lipcem 2017 roku lub nawet wcześniej. Zachęcamy do śledzenia najnowszych doniesień w serwisie Securelist.

Produkty Kaspersky Lab wykrywają ten nowy szkodliwy program jako DangerousObject.Multi.Generic (przy użyciu chmury Kaspersky Security Network – KSN), PDM: Trojan.Win32.Generic (przy użyciu modułu Kontrola systemu) oraz Trojan-Ransom.Win32.Gen.ftl.

Aby nie paść ofiarą ataku Bad Rabbit, zalecamy:

Dla użytkowników rozwiązań bezpieczeństwa Kaspersky Lab:

  • Upewnij się, że moduły Kaspersky Security Network oraz Kontrola systemu są aktywne. Funkcje te są domyślnie włączone.

Dla tych, którzy nie korzystają z rozwiązań zabezpieczających firmy Kaspersky Lab:

  • Zablokuj możliwość uruchamiania pików: c:\windows\infpub.dat, C:\Windows\cscc.dat.
  • Wyłącz (jeśli jest to możliwe) korzystanie z systemowej usługi WMI, aby zapobiec rozprzestrzenianiu się szkodnika w Twojej sieci.

Dla wszystkich użytkowników:

  • Zadbaj o wykonanie kopii zapasowej danych.
  • Nie płać okupu.