Noll
Dålig Kanin, en ransomware infektion tänkt att vara en ny variant av Petya, har tydligen drabbats av ett antal organisationer i Ryssland och Ukraina.
I en tweet, ryska cybersäkerhet fast Grupp-IB sade att minst tre media organisationer i landet har drabbats av fil-kryptering av skadlig kod.
Vid samma tid, ryska nyhetsbyrån Interfax sagt sitt system har påverkats av en “hacker-attack”.
“Interfax Koncernens servrar har utsatts för en hackerattack. Den tekniska avdelningen är att vidta alla åtgärder för att återuppta nyheter tjänster. Vi ber om ursäkt för besväret,” President sade i ett uttalande.
Dålig Kanin lösen not
Bild: Kaspersky Lab
På Facebook, Interfax sa att det hade blivit påkörd av ett “virus” och att det var med “tekniska åtgärder” för att återställa system.
Samtidigt har flera ukrainska organisationer har skrivit om system misslyckas med: betalningssystem på Kievs Tunnelbana verkar ha fallit offer för attacken, medan det i ett uttalande på sin Facebook-sida, Odessas Internationella Flygplats sagt sitt informationssystem hade drabbats av hackare.
“Vi informera att den information som systemet med den Internationella Flygplatsen “Odessa” drabbats av en hackerattack,” en översättning av inlägget säger.
CERT-UA, Computer Emergency Response Team av Ukraina, som också skrivit att “det är möjligt att starta en ny våg av it-angrepp till Ukraina informationsresurser” hade förekommit rapporter om Dåliga Kanin infektioner börjat komma in.
It-säkerhet forskare vid ESET är bland dem övervakning av attacken och har identifierat ransomware kryptera vissa datorer att vara Diskcoder.D — en ny variant av ransomware också känd som Petya, en särskilt brutal form av fil-kryptering av skadlig kod som drabbade organisationer runt om i världen i juni.
Ytterligare ett Twitter-inlägg av ESET forskare Lukas Stefanko antyder att det är att sprida en falsk Flash-uppdatering med hjälp av EternalBlue — samma läckt NSA utnyttja som gynnat spridningen av WannaCry och Petya. EternalBlue använder en version av Windows Server Message Block (SMB) nätverksprotokoll för att sidan sprids genom nätverk.
Dålig Kanin använder också Trojan-som Mimikatz verktyg för att extrahera uppgifter från berörda system.
“ESET: s telemetri har upptäckt hundratals förekomster av Diskcoder.D. De flesta av de upptäckter som är i Ryssland och Ukraina, men det finns också rapporter om datorer i Turkiet, Bulgarien och andra länder som berörs,” det sagt.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
Kaspersky Labs forskare säger att den kryptografiska bakom denna ransomware är kallade onda Kanin, offer skickas till en sida med samma namn på Tor för att betala en lösen på 0,05 Bitcoins ($286) för att få tillgång till sina filer tillbaka. Noteringen har också en timer som räknar ner från drygt 41 timmar, talar om för användaren de behöver för att betala inom denna tid eller ansikte lösen kommer upp.
Forskarna noterar också att Dåliga Kanin använder attack metoder som “liknande” i juni Petya-attack, men som ännu inte har bekräftat en länk med den tidigare incidenten, eller om den har förmåga att sprida sig i så stor utsträckning.
“Baserat på vår undersökning, detta är en riktad attack mot företagets nätverk, med metoder som liknar dem som används i den ExPetr attack,” Kaspersky Labs forskare och sa att en av de metoder för distribution är en drive-by attack som droppar skadlig kod från äventyras webbplatser.
I en Tweet, Kaspersky Lab direktör för Global Research och Analys sade att några av de äventyras webbplatser, inklusive Bakhmut, Ukraina kommun webbplats har blivit hackad sedan juli i år.
Ett antal säkerhet leverantörer säger att deras produkter kan skydda mot Dåligt Kanin. Men för dem som vill vara säker på att de inte potentiellt offer för attacken, Kaspersky Lab säger att användare kan blockera genomförandet av filen ” c: windows infpub.dat, C: Windows cscc.dat. i syfte att förhindra infektion.
Vid denna punkt, det är för tidigt för att kunna identifiera den skyldige bakom den Dåliga Kanin attack. Men, vem är det, de verkar vara ett fan av Game of Thrones: koden innehåller referenser till Viserion, Drogon, och Rhaegal, dragons som har i tv-serien och böckerna den är baserad på.
Mer om denna historia som utvecklar
Relaterade täckning
Ransomware: säkerhetsforskare plats framväxande nya stam av malware
‘Magniber’ ransomware som potentiellt skulle kunna vara ett experiment med människor bakom Cerber ransomware familj.
Tror cyberbrottslingar är glad om ökningen av ransomware? Tänk igen
Ransomware är växande, men dess uppgång har delad uppfattning bland cyberskurkar.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Efter WannaCry, ransomware kommer att bli värre innan det blir betterThe globala ransomware epidemin är bara att komma startedWannaCry ransomware var den största utmaningen i år, säger it-säkerhet centre6 tips för att undvika ransomware efter Petya och WannaCry (TechRepublic)Din underlåtenhet att tillämpa kritisk it-säkerhet uppdateringar är att sätta ditt företag i riskzonen från nästa WannaCry eller PetyaHow för att skydda dig från WannaCry ransomware (CNET)
0