Nul
Dårlig Kanin ransomware spredt sig med hjælp af en lækket NSA udnytte udsat ved Skygge Mæglere hacking gruppe, sikkerhed forskere har bekræftet.
Når ransomware første inficeret organisationer i Rusland og Ukraine på tirsdag, var det i første omgang foreslog, at det var ved hjælp af EternalBlue — lækket udnytte som bidrog til udbredelsen af WannaCry — men denne blev hurtigt fundet at være ikke tilfældet.
Men forskere på Cisco Talos har nu fundet frem til, at Dårlige Kanin gjorde faktisk brug en SMB-sårbarhed til at udbrede gennem netværk-kendt som EternalRomance. Forskere ved andre vagtselskaber, herunder Symantec og Kaspersky Lab har også bekræftet brugen af EternalRomance.
Sårbarheden blev også brugt til at distribuere NotPetya i juni, selv om forskere bemærke, at mens denne version af EternalRomance er meget lig den offentligt tilgængelige Python-implementering, der er en lille forskel.
For Dårlig Kanin, EternalBlue gennemførelsen bruges til at overskrive en kerne ‘ s session sikkerhed sammenhæng. Der gør det muligt at starte remote service og forsøge at finde andre i nærheden systemer lytte til SMB-forbindelser og derefter sprede ransomware. I mellemtiden, EternalRomance blev brugt af NotPetya at installere DoublePulsar bagdør.
I begge tilfælde, de aktioner, der er mulige på grund af, hvordan EternalRomance gør det muligt for angriberen at læse og skrive vilkårlige data ind i kernen af hukommelse til at sprede ransomware.
Som et resultat af ligheder i koden og brug af SMB udnytte, Cisco Talos forskere har “stor tillid” til, at der er en sammenhæng mellem NotPetya og Dårlige Kanin og endda tyder på, at forfatterne af de to ransomware varianter kunne være det samme.
Dårlig Kanin ransomware blev opkaldt efter den Tor betalingssiden krævende bitcoin.
Billede: iStock
“Unddragelse teknikker til stede i de ændringer af DoublePulsar bagdør i Nyetya og EternalRomance i Bad Rabbit demonstrere lignende, avancerede niveauer af forståelse af de bedrifter, der er involveret, netværk fund på plads på det tidspunkt af udsendelsen, og de almindelige Windows-kernen udnyttelse,” sagde Nick Biasini, trussel forsker på Talos Opsøgende
Se også: Dårlig Kanin: Ti ting, du behøver at vide om den nyeste ransomware udbrud
Sammen med EternalBlue, EternalRomance sårbarhed blev lappet af Microsoft tilbage i Marts — tyder på, at dem, der er inficeret med denne ransomware udbrud var der stadig mangler at anvende den kritiske opdatering, på trods af virkningerne af tidligere højt profilerede hændelser.
Mere sikkerhed nyheder
Hackere kan få adgang til maritim skib data via en indbygget bagdør
Slå om den nye anti-ransomware funktioner i Efteråret Skabere Opdatering
Kaspersky siger NSA hacking værktøjer, der fremkommer efter malware blev fundet
Dårlig Kanin: Ti ting, du behøver at vide om den nyeste ransomware udbrud
Opkaldt Dårlig Kanin efter Tor-betalingssiden for at indsamle løsepenge, den ransomware ramme mål, herunder russiske medier, Kiev metro system, og det Odessa Internationale Lufthavn i Ukraine.
En række organisationer i Tyskland, Sydkorea og Polen blev også rapporteret at have været udsat, men det samlede antal af infektioner var langt lavere, end det var set med WannaCry og Petya, med under 200 organisationer, der påvirkes.
Det er ikke klart, hvor mange af dem, der er ramt betalt, men ofrene er rettet til en Tor betaling side, der kræver en betaling på 0,05 bitcoin (omkring $285) til dekryptering af filer. De er truet med at prisen stiger, hvis de ikke betaler inden for lige under 48 timer, selv om en række sikkerheds-leverandører har nu sagt, at den infrastruktur, der benyttes til at indsamle betalinger er nu nede.
Dårlig Kanin spreder sig via drive-by downloads på hackede hjemmesider. Snarere end at være leveret af exploits, besøgende til kompromitterede websteder — mange, som havde været under kontrol af hackere til måneder-blev bedt om at installere en Flash-opdatering.
Denne ondsindede download installeres efterfølgende, den ransomware til, hvad der syntes at være specielt udvalgte mål, selv om det er ukendt, hvad begrundelsen for at vælge de ofre der var.
Det er åbenlyst, hvordan brug af exploits som EternalRomance bliver en stadig mere almindelig metode til spredning ransomware.
“Det er hurtigt ved at blive den nye normal for trusselsbilledet. Trusler, breder sig hurtigt, for en kort vindue, til at påføre maksimal skade,” sagde Biasini.
Relaterede dækning
Dårlig Kanin: Ti ting, du behøver at vide om den nyeste ransomware udbrud
Det er den tredje større udbrud af året – her er hvad vi ved indtil videre.
Dårlig Kanin ransomware: En ny variant af Petya er spredning, advarer forskere
Opdateret: Organisationer i Rusland, Ukraine og andre lande har været udsat for, hvad der menes at være en ny variant af ransomware.
LÆS MERE OM IT-KRIMINALITET
Dårlig Kanin ransomware angreb bider Europa [CNET]WannaCry ransomware: Hospitaler blev advaret om at lappe system til beskyttelse mod cyber-angreb – men havde’tAfter WannaCry, ransomware vil blive værre, før det bliver better6 tips til at undgå ransomware efter Petya og WannaCry [TechRepublic]Din manglende evne til at anvende kritisk cybersecurity opdateringer er at sætte din virksomhed i fare fra den næste WannaCry eller Petya
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0