Nul
Slechte Konijn ransomware verspreid met de hulp van een gelekte NSA exploiteren blootgesteld door de Schaduw Makelaars hacken van de groep, veiligheid onderzoekers hebben bevestigd.
Wanneer de ransomware eerste geïnfecteerde organisaties in Rusland en Oekraïne op dinsdag, het was in eerste instantie voorgesteld dat het gebruik van EternalBlue — de gelekte exploit die hielp de verspreiding van WannaCry — maar deze werd snel gevonden te worden, niet het geval.
Echter, de onderzoekers van Cisco Talos hebben nu vastgesteld dat Slecht Konijn inderdaad een SMB kwetsbaarheid te verspreiden via netwerken, ook wel bekend als EternalRomance. Onderzoekers van andere beveiligingsbedrijven, met inbegrip van Symantec en Kaspersky Lab hebben ook bevestigd dat het gebruik van EternalRomance.
De kwetsbaarheid werd ook gebruikt voor het distribueren van NotPetya in juni, hoewel de onderzoekers er rekening mee dat deze versie van EternalRomance is zeer vergelijkbaar met de reeds beschikbare Python uitvoering, er zijn kleine verschillen.
Voor Slecht Konijn, de EternalBlue uitvoering wordt gebruikt voor het overschrijven van een kernel sessie security context. Dat maakt het starten van externe diensten, en proberen te vinden van andere nabijgelegen systemen luisteren naar SMB-verbindingen en vervolgens verspreid de ransomware. Ondertussen EternalRomance werd gebruikt door NotPetya installeren van de DoublePulsar achterdeur.
In beide gevallen, de acties zijn mogelijk te wijten aan hoe EternalRomance kan de aanvaller te lezen en te schrijven willekeurige gegevens in in het kernel geheugen ruimte om zich te verspreiden ransomware.
Als gevolg van overeenkomsten in de code en gebruik van het SMB-exploit, Cisco Talos onderzoekers hebben “groot vertrouwen” dat er een link tussen NotPetya en Slechte Konijn en zelfs suggereren dat de auteurs van de twee ransomware-varianten hetzelfde kon zijn.
Slechte Konijn ransomware is vernoemd naar de Tor betaalpagina veeleisende bitcoin.
Beeld: iStock
“De fraude technieken die aanwezig zijn in de aanpassingen aan de DoublePulsar backdoor in Nyetya en EternalRomance in Bad Konijn tonen vergelijkbare, geavanceerde niveaus van begrip van de exploits betrokken, het netwerk detecties plaats op het moment van de implementatie en de algemene Windows-kernel uitbuiting,” zei Nick Biasini, bedreiging onderzoeker bij Talos Outreach
Zie ook: Slecht Konijn: Tien dingen die u moet weten over de nieuwste ransomware uitbraak
Samen met EternalBlue, de EternalRomance kwetsbaarheid werd door Microsoft gepatcht terug in Maart, wat suggereert dat deze geïnfecteerd door deze ransomware uitbraak waren nog steeds aan het toepassen van de essentiële update, ondanks de impact van eerdere spraakmakende incidenten.
Meer nieuws over beveiliging
Hackers kunnen toegang krijgen tot maritieme schip van gegevens door middel van een ingebouwde achterdeur
Zet de nieuwe anti-ransomware functies in de Herfst Makers Update
Kaspersky zegt NSA hacking-tools verkregen na malware gevonden
Slechte Konijn: Tien dingen die u moet weten over de nieuwste ransomware uitbraak
De naam Slecht Konijn na de Tor betaling pagina voor het verzamelen van losgeld, de ransomware raak doelen, waaronder de russische media, de Kiev metro-systeem, en de Internationale Luchthaven van Odessa in Oekraïne.
Een aantal organisaties in Duitsland, Zuid-Korea en Polen werden ook gemeld slachtoffer, maar het totale aantal infecties was veel lager dan werd gezien met WannaCry en Petya, met onder 200 organisaties beïnvloed.
Het is niet duidelijk hoeveel van degenen die getroffen zijn betaald, maar slachtoffers worden doorverwezen naar een Tor betaling pagina die vraagt om een betaling van 0,05 bitcoin (rond de $285) voor het ontsleutelen van de bestanden. Ze bedreigd met de prijs stijgt als ze niet betalen binnen net onder de 48 uur, maar een aantal leveranciers hebben nu zei de infrastructuur die wordt gebruikt voor het verzamelen van betalingen is nu naar beneden.
Slechte Konijn verspreidt zich via drive-by downloads op de gehackte websites. In plaats van geleverd door exploits, bezoekers van de besmette sites — velen waren onder de controle van hackers voor de maanden — verteld werden voor het installeren van een Flash-update.
Deze kwaadaardige download vervolgens geïnstalleerd de ransomware om wat leek op speciaal geselecteerde doelen, maar het is onbekend wat de gedachtegang achter het kiezen van de slachtoffers was.
Wat duidelijk is is hoe je met behulp van exploits zoals EternalRomance wordt steeds meer een gemeenschappelijke methode van het verspreiden van ransomware.
“Dit is hard op weg de nieuwe standaard voor de bedreiging van het landschap. Bedreigingen verspreiden zich snel, voor een korte venster, om de maximale schade toebrengen,” zei Biasini.
Verwante dekking
Slechte Konijn: Tien dingen die u moet weten over de nieuwste ransomware uitbraak
Het is de derde grote uitbraak van het jaar – hier is wat we tot nu toe weten.
Slechte Konijn ransomware: Een nieuwe variant van Petya is het verspreiden, waarschuwen onderzoekers
Bijgewerkt: Organisaties in Rusland, Oekraïne en andere landen hebben slachtoffer te worden van wat wordt gedacht aan een nieuwe variant van ransomware.
LEES MEER OVER CYBERCRIMINALITEIT
Slechte Konijn ransomware aanvallen bites Europe [CNET]WannaCry ransomware: Ziekenhuizen werden gewaarschuwd om patch systeem te beschermen tegen cyber-aanvallen – maar had’tAfter WannaCry, ransomware zal slechter worden, voordat het wordt better6 tips om te voorkomen dat ransomware na Petya en WannaCry [TechRepublic]Uw niet-toepassing kritische cybersecurity-updates is het zetten van uw bedrijf op risico van de volgende WannaCry of Petya
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0