ransomware
Ten post jest na bieżąco uaktualniany w miarę pojawiania się nowych informacji.
W 2017 roku byliśmy świadkami już dwóch epidemii szkodliwych programów szyfrujących dane dla okupu (czyli tzw. ransomware) – mowa o głośnych atakach WannaCry oraz ExPetr (lub inaczej Petya albo NotPeyta). Wygląda na to, że mamy do czynienia z trzecim. Nazwa szkodnika to Bad Rabbit, a przynajmniej tak nazywany jest on przez samych atakujących.
Jeżeli chodzi o ofiary, na chwilę obecną wiadomo o atakach na kilka rosyjskich mediów, w tym Interfax i Fontanka. Pojawiły się także doniesienia o atakach, prawdopodobnie tego samego szkodliwego programu, na lotnisko w Odessie.
Za odszyfrowanie danych atakujący żądają 0,05 bitcoina, czyli równowartość około 280 dolarów przy obecnej wartości tej kryptowaluty.
Według wyników naszego badania jest to atak typu drive-by: ofiara pobiera fałszywy instalator programu Adobe Flash z jednej z zainfekowanych stron i ręcznie uruchamia plik .exe, co doprowadza do infekcji. Nasi badacze wykryli wiele zainfekowanych stron, wszystkie były z obszaru informacyjnego lub miały związek z mediami.
Szczegóły odnośnie ataku i sposobu rozprzestrzeniania tego szkodliwego programu nie są jeszcze znane. Nie wiadomo także, czy możliwe jest odszyfrowanie danych bez płacenia okupu (zapłacenie go także nie gwarantuje odzyskania informacji). Eksperci z Kaspersky Lab badają nowy atak i będziemy na bieżąco informować o pojawianiu się nowych informacji.
Większość ofiar jest zlokalizowana w Rosji, jednak obserwujemy także ataki na Ukrainie, w Turcji i Niemczech (gdzie są one mniej intensywne). Szkodliwe oprogramowanie rozprzestrzenia się najprawdopodobniej przez zainfekowane strony rosyjskich mediów. Wstępna analiza wskazuje, że mamy do czynienia z atakiem ukierunkowanym na sieci firmowe.
Nasi badacze zgromadzili wystarczająco wiarygodny dowód, aby powiązać atak Bad Rabbit z atakiem ExPetr, który miał miejsce w czerwcu tego roku: analiza wykazała podobieństwo kodu użytego w zagrożeniu Bad Rabbit z kodem zagrożenia ExPetr.
Wśród innych podobieństw znalazła się ta sama lista domen użytych do ataku drive-by (część z nich zhakowano w czerwcu, lecz nie zostały one użyte), jak również te same techniki użyte do rozprzestrzeniania szkodliwego oprogramowania poprzez sieci firmowe — w obu atakach wykorzystano do tego celu narzędzie Windows Management Instrumentation Command-line (WMIC). Istnieje jednak jedna różnica: Bad Rabbit nie wykorzystuje exploita EternalBlue — ani żadnego innego.
Według naszych ekspertów za atakami tymi stoi ten sam aktor, który przygotowywał atak z użyciem zagrożenia Bad Rabbit przed lipcem 2017 roku lub nawet wcześniej. Zachęcamy do śledzenia najnowszych doniesień w serwisie Securelist.
Produkty Kaspersky Lab wykrywają ten nowy szkodliwy program jako DangerousObject.Multi.Generic (przy użyciu chmury Kaspersky Security Network – KSN), PDM: Trojan.Win32.Generic (przy użyciu modułu Kontrola systemu) oraz Trojan-Ransom.Win32.Gen.ftl.
Aby nie paść ofiarą ataku Bad Rabbit, zalecamy:
Dla użytkowników rozwiązań bezpieczeństwa Kaspersky Lab:
- Upewnij się, że moduły Kaspersky Security Network oraz Kontrola systemu są aktywne. Funkcje te są domyślnie włączone.
Dla tych, którzy nie korzystają z rozwiązań zabezpieczających firmy Kaspersky Lab:
- Zablokuj możliwość uruchamiania pików: c:windowsinfpub.dat, C:Windowscscc.dat.
- Wyłącz (jeśli jest to możliwe) korzystanie z systemowej usługi WMI, aby zapobiec rozprzestrzenianiu się szkodnika w Twojej sieci.
Dla wszystkich użytkowników:
- Zadbaj o wykonanie kopii zapasowej danych.
- Nie płać okupu.
Porady