Zero
Bad Rabbit diffusione ransomware utilizzando l’aiuto di un fuoriuscito NSA sfruttare esposti da Shadow Broker gruppo di hacker, i ricercatori di sicurezza hanno confermato.
Quando il ransomware primo infetto organizzazioni in Russia e Ucraina, martedì, è stato inizialmente suggerito che era utilizzando EternalBlue — trapelato exploit che ha aiutato la diffusione di WannaCry — ma questo è subito trovato a non essere il caso.
Tuttavia, i ricercatori Cisco Talos hanno indicato che Male Coniglio ha effettivamente utilizzare un SMB vulnerabilità di diffondere attraverso le reti — conosciuto come EternalRomance. I ricercatori di sicurezza di altri aziende tra cui Symantec e Kaspersky Lab hanno confermato l’uso di EternalRomance.
La vulnerabilità è stata anche utilizzata per distribuire NotPetya nel mese di giugno, anche se i ricercatori di notare che, mentre questa versione di EternalRomance è molto simile al pubblicamente disponibili Python attuazione, ci sono piccole differenze.
Per Bad Rabbit, il EternalBlue attuazione è usato per sovrascrivere un kernel sessione di un contesto di sicurezza. Che consente di lanciare servizi a distanza e cercare di trovare altri nelle vicinanze di sistemi di ascolto per le connessioni SMB e poi diffondere il ransomware. Nel frattempo, EternalRomance è stato utilizzato da NotPetya per installare il DoublePulsar backdoor.
In entrambi i casi, le azioni sono possibili a causa di come EternalRomance consente all’utente malintenzionato di leggere e scrivere dati arbitrari in spazio di memoria del kernel per la diffusione di ransomware.
Come risultato, le somiglianze tra il codice e l’uso di SMB sfruttare, Cisco Talos i ricercatori hanno “fiducia” che c’è un collegamento tra NotPetya e Male Coniglio e suggeriscono anche che gli autori dei due ransomware varianti potrebbe essere lo stesso.
Bad Rabbit ransomware è stato chiamato dopo il Tor pagina di pagamento esigenti bitcoin.
Immagine: iStock
“Le tecniche di evasione presente nel le modifiche della DoublePulsar backdoor in Nyetya e EternalRomance a Bad Rabbit dimostrare simile, a livelli avanzati di conoscenza delle imprese coinvolte, la rete rilevamenti in atto al momento della distribuzione, e in generale il kernel di Windows sfruttamento”, ha detto Nick Biasini, minaccia ricercatore presso Talos di Sensibilizzazione
Vedi anche: Bad Rabbit: Dieci cose da sapere sulle ultime ransomware scoppio
Insieme con EternalBlue, il EternalRomance vulnerabilità è stata corretta da Microsoft nel mese di Marzo — suggerendo che quelli infettati da questo ransomware scoppio erano ancora applicare l’aggiornamento critico, nonostante l’impatto della precedente di alto profilo incidenti.
Più notizie di sicurezza
Gli hacker possono accedere alla marittimo, nave di dati attraverso un built-in backdoor
Accendere il nuovo anti-ransomware caratteristiche in Autunno Creatori di Aggiornamento
Kaspersky dice NSA strumenti di hacking ottenuto dopo malware è stato trovato
Bad Rabbit: Dieci cose da sapere sulle ultime ransomware scoppio
Denominata Bad Coniglio dopo il Tor pagina di pagamento per la raccolta riscatta, il ransomware di colpire gli obiettivi tra cui il russo i media, il sistema di metropolitana di Kiev, e l’Aeroporto Internazionale di Odessa in Ucraina.
Un certo numero di organizzazioni in Germania, Corea del Sud e Polonia sono stati segnalati anche che sono caduti vittima, ma il numero totale di infezioni è stata di gran lunga inferiore di quanto si è visto con WannaCry e Petya, con meno di 200 organizzazioni interessate.
Non è chiaro quanti di coloro che sono colpiti pagato, ma le vittime sono diretti a Tor pagina di pagamento, che richiede un pagamento di 0,05 bitcoin (circa $285) per decifrare i file. Sono minacciati con il prezzo che aumenta se non pagano entro poco meno di 48 ore, anche se un certo numero di fornitori di sicurezza sono ora, ha detto l’infrastruttura utilizzata per raccogliere i pagamenti è ora giù.
Bad Coniglio si diffonde attraverso drive-by download su siti web violati. Invece di essere consegnati dall’exploit di visitatori di siti compromessi, molti dei quali erano stati sotto il controllo di hacker per mesi, è stato detto di installare un aggiornamento del Flash.
Questo download dannosi installati successivamente il ransomware per quello che sembrava essere selezionati appositamente obiettivi, anche se non si sa che cosa il ragionamento che sta dietro la scelta di vittime.
Quello che è evidente è come l’uso di exploit come EternalRomance sta diventando sempre più comune metodo di diffusione dei ransomware.
“Questo sta rapidamente diventando il nuovo standard per il panorama delle minacce. Le minacce stanno diffondendo rapidamente, per una breve finestra, per infliggere il massimo danno”, ha detto Biasini.
Relativi copertura
Bad Rabbit: Dieci cose da sapere sulle ultime ransomware scoppio
E ‘ il terzo focolaio principale dell’anno, ecco quello che sappiamo finora.
Bad Rabbit ransomware: Una nuova variante di Petya si sta diffondendo, avvertono i ricercatori
Aggiornamento: le Organizzazioni in Russia, Ucraina e altri paesi sono caduti vittima di ciò che è pensato per essere una nuova variante di ransomware.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Bad Rabbit ransomware attacco morsi Europa [CNET]WannaCry ransomware: gli Ospedali sono stati avvertiti di patch di sistema di protezione contro i cyber-attacco – ma non’tAfter WannaCry, ransomware è destinata a peggiorare prima di arrivare better6 consigli per evitare di ransomware dopo Petya e WannaCry [TechRepublic]La mancata applicazione di sicurezza informatica critica degli aggiornamenti è mettere la vostra azienda a rischio per la prossima WannaCry o Petya
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0