Zero
Un nuovo ransomware campagna ha raggiunto un numero di alto profilo destinazioni in Russia e in Europa Orientale.
Doppiato Male, il Coniglio, il ransomware iniziato a infettare i sistemi di martedì 24 ottobre, e il modo in cui le organizzazioni sembrano essere stati colpiti contemporaneamente immediatamente attirato confronti di quest’anno WannaCry e Petya epidemie.
A seguito di scoppio iniziale, c’era una certa confusione su cosa esattamente Bad Rabbit è. Ora iniziale di panico è morto verso il basso, tuttavia, è possibile scavare in che cosa esattamente sta succedendo.
1. Il cyber-attacco che ha colpito le organizzazioni in tutta la Russia e l’Europa Orientale
Organizzazioni in russia e in Ucraina, come anche un piccolo numero di Germania e Turchia-sono caduti vittima di ransomware. I ricercatori Avast dire che hanno anche rilevato il malware in Polonia e Corea del Sud.
Russo cybersecurity società Gruppo IB confermato almeno tre organizzazioni di media nel paese sono state colpite da file con crittografia malware, mentre, al tempo stesso, agenzia stampa russa Interfax, ha detto che i suoi sistemi sono stati colpiti da un “attacco hacker” — e sono stati apparentemente buttato fuori linea per l’incidente.
Altre organizzazioni nella regione, tra cui l’Aeroporto Internazionale di Odessa e Kiev Metro anche fatto delle dichiarazioni su di cadere vittima di un cyber-attacco, mentre CERT-UA, il Computer Emergency Response Team dell’Ucraina, anche scritto che “il possibile inizio di una nuova ondata di attacchi per Ucraina risorse di informazioni” si era verificato, come i rapporti di Bad Rabbit infezioni iniziato a venire in.
Al momento della scrittura, si pensa che ci sono quasi 200 bersagli infetti e che indica che questo non è un attacco come WannaCry o Petya stato-ma è ancora causando problemi per infetti organizzazioni.
“La totale prevalenza di campioni noti è abbastanza basso rispetto agli altri “comuni” ceppi”, ha affermato Jakub Kroustek, malware analyst di Avast.
2. E ‘ sicuramente ransomware
Chi ha la sfortuna di cadere vittima di un attacco subito resi conto di cosa era successo, perché il ransomware non è sottile — presenta vittime con una nota di riscatto dicendo loro che i loro file sono “più accessibile” e “nessuno sarà in grado di recuperarli senza il nostro servizio di decodifica”.
Bad Rabbit richiesta di riscatto.
Immagine: ESET
Le vittime sono diretti a Tor pagina di pagamento e sono presentati con un conto alla rovescia. Pagare entro i primi 40 ore o giù di lì, gli si dice, e il pagamento per la decrittografia dei file è di 0,05 bitcoin-circa $285. Chi non paga il riscatto prima che il timer raggiunge lo zero viene detto che il costo salirà e dovranno pagare di più.
Bad Rabbit pagina di pagamento.
Immagine: Kaspersky Lab
La crittografia viene utilizzata DiskCryptor, che è open source legittimo e il software utilizzato per la crittografia completa del disco. Le chiavi vengono generate utilizzando CryptGenRandom e quindi protetto da un hardcoded RSA 2048 chiave pubblica.
3. Si basa su Petya/Non Petya
Se la richiesta di riscatto sembra familiare, è perché è quasi identico a quello delle vittime di giugno Petya scoppio visto. Le somiglianze non sono solo cosmetici-Bad Rabbit azioni dietro le quinte elementi con Petya troppo.
Analisi dai ricercatori Crowdstrike ha trovato che Male Coniglio e NotPetya DLL (dynamic link library) quota del 67% del medesimo codice, indicando i due ransomware varianti sono strettamente correlati, potenzialmente, anche il lavoro della stessa minaccia attore.
4. Si diffonde attraverso un falso aggiornamento Flash su siti web compromessi
Il modo principale di Bad Rabbit spread è il drive-by download su siti web violati. Nessun exploit utilizzati, piuttosto visitatori a siti web compromessi, alcuni dei quali sono stati compromessi dal giugno — sono detto che non è necessario installare un aggiornamento del Flash. Naturalmente, questo non è un aggiornamento del Flash, ma un dropper per il malware installa.
Un sito compromesso chiedere a un utente di installare un falso aggiornamento Flash che distribuisce Male Coniglio.
Immagine: ESET
Siti web infetti, soprattutto con sede in Russia, Bulgaria e Turchia-sono compromessi da avere JavaScript iniettato nel loro corpo HTML o in uno di loro .file js.
5. Si può diffondere lateralmente attraverso le reti…
Molto simile Petya, Bad Coniglio viene fornito con un potente asso nella manica, nel senso che contiene un componente SMB, che consente di spostare lateralmente attraverso una rete infetta e si propagano senza l’interazione dell’utente, dicono i ricercatori a Cisco Talos.
Cosa aids Male di Coniglio, di capacità di diffusione è riportato un elenco di semplice username e password combinazioni che si possono sfruttare per forza bruta la sua strada attraverso le reti. Le password deboli elenco è composto da un numero di i soliti sospetti per le password deboli come semplice numero di combinazioni e ‘password’.
6. … ma non uso EternalBlue
Più notizie di sicurezza
Dopo silenziosamente infettando milioni di dispositivi, Reaper botnet impostato per essere peggio di Mirai
Bad Rabbit ransomware: Una nuova variante di Petya si sta diffondendo in guardia i ricercatori
Dark web venditori per la vendita di accesso remoto ai Pc aziendali per il poco quanto $3
Gli hacker attaccano le aziende di potenza, il furto di dati critici: Ecco come si fa
Quando le Cattive Coniglio prima volta, alcuni hanno suggerito che come WannaCry, sfruttate il EternalBlue sfruttare a diffondersi. Tuttavia, questo ora non sembra essere il caso.
“Al momento non abbiamo prove che il EternalBlue exploit è utilizzato per diffondere l’infezione,” Martin Lee, responsabile Tecnico per la Ricerca sulla Sicurezza dei Talos detto a ZDNet.
7. Esso non può essere indiscriminato
Nello stesso punto, a seguito della WannaCry scoppio, centinaia di migliaia di sistemi in tutto il mondo è stato vittima di ransomware. Tuttavia, Bad Coniglio non appare indiscriminato di infettare obiettivi, piuttosto ricercatori hanno suggerito che infetti solo bersagli selezionati.
“Le nostre osservazioni suggeriscono che questo è stato un attacco mirato contro le reti aziendali,” ha detto i ricercatori di Kaspersky Lab.
Nel frattempo, i ricercatori di ESET dicono le istruzioni nello script iniettato in siti web infetti “in grado di determinare se il visitatore è di interesse e quindi aggiungere il contenuto alla pagina” se l’obiettivo è ritenuta idonea per l’infezione.
Tuttavia, in questa fase, non c’è ragione per cui le organizzazioni dei media e delle infrastrutture in Russia e Ucraina è stato specificamente mirati a questo tipo di attacco.
8. Non è chiaro chi c’è dietro
In questo momento, è ancora sconosciuto che è la distribuzione di ransomware o perché, ma la somiglianza Petya ha indotto alcuni ricercatori a suggerire che Male Coniglio è lo stesso gruppo di attacco, anche se non consentono di identificare l’aggressore o il motivo, perché l’autore di giugno dell’epidemia non è mai stato identificato.
Ciò che contraddistingue questo attacco è il modo che ha principalmente infetti Russia – Europa Orientale organizzazioni criminali informatici tendono ad evitare di attaccare la ‘patria’, per indicare questa improbabile che sia un gruppo russo.
9. Esso contiene Game of Thrones riferimenti
Chi è dietro di Brutto Coniglio, sembrano essere un fan di Game of Thrones: il codice contiene riferimenti a Viserion, Drogon, e Rhaegal, draghi che dispongono in serie televisive e i romanzi è basato. Gli autori del codice, pertanto, non fa molto per cambiare l’immagine stereotipata di hacker di essere geek e nerd.
Riferimenti a Game of Thrones draghi nel codice.
Immagine: Kaspersky Lab
10. È possibile proteggersi contro l’infezione da essa
In questa fase, non si sa se è possibile decrittografare i file bloccati da Bad Coniglio senza cedere e pagare il riscatto – anche se i ricercatori dicono che quelli che cadono vittima non deve pagare la tassa, in quanto sarà solo incoraggiare la crescita di ransomware.
Un certo numero di fornitori di sicurezza dicono che i loro prodotti proteggono contro il Cattivo di Coniglio. Ma per coloro che vogliono essere sicuri che non potenzialmente cadere vittima di attacco, Kaspersky Lab dice che gli utenti possono bloccare l’esecuzione del file ” c: windows infpub.dat, C: Windows cscc.dat.”, al fine di prevenire l’infezione.
Precedente copertura
Bad Rabbit ransomware: Una nuova variante di Petya si sta diffondendo, avvertono i ricercatori
Aggiornamento: le Organizzazioni in Russia, Ucraina e altri paesi sono caduti vittima di ciò che è pensato per essere una nuova variante di ransomware.
LEGGI DI PIÙ SU RANSOMWARE
Dopo WannaCry, ransomware è destinata a peggiorare prima di it gets better Ransomware: Un esecutivo a guida di una delle più grandi minacce sul web6 consigli per evitare di ransomware dopo Petya e WannaCry (TechRepublic)il Tuo mancata applicazione di sicurezza informatica critica degli aggiornamenti è mettere la vostra azienda a rischio per la prossima WannaCry o PetyaHow per proteggersi da WannaCry ransomware (CNET)
0