Zero
Mauvais Lapin ransomware propagation à l’aide de l’aide d’une fuite de la NSA exploiter exposés par l’Ombre des Courtiers de piratage groupe, les chercheurs en sécurité ont confirmé.
Lors de la première infection ransomware organisations en Russie et en Ukraine, mardi, il a été initialement suggéré que c’était à l’aide de EternalBlue — la fuite d’exploiter qui a contribué à la propagation de WannaCry — mais cela a été rapidement trouvée pour ne pas être le cas.
Cependant, des chercheurs de Cisco Talos avons maintenant identifié que la Mauvaise Lapin n’a, en effet, utiliser une pme de la vulnérabilité de se propager à travers les réseaux, connues sous le nom EternalRomance. Les chercheurs à d’autres entreprises de sécurité, y compris Symantec et Kaspersky Lab ont également confirmé l’utilisation de EternalRomance.
La vulnérabilité a été également utilisé pour distribuer NotPetya en juin, bien que les chercheurs notent que, bien que cette version de EternalRomance est très similaire à l’publiquement disponibles Python de mise en œuvre, il y a de légères différences.
Pour le Mal de Lapin, les EternalBlue mise en œuvre est utilisé pour remplacer un noyau session du contexte de sécurité. Qui permet de lancer des services à distance et essayer de trouver d’autres à proximité des systèmes d’écoute pour les connexions SMB et puis étaler le ransomware. Pendant ce temps, EternalRomance a été utilisé par NotPetya pour installer le DoublePulsar porte dérobée.
Dans les deux cas, les actions sont possibles en raison de la façon dont EternalRomance permet à l’attaquant de lire et d’écrire des données arbitraires dans l’espace mémoire du noyau de propagation ransomware.
Comme un résultat de similitudes dans le code et l’utilisation de la pme à exploiter, Cisco Talos les chercheurs ont “grande confiance” qu’il y a un lien entre NotPetya et Mauvais Lapin et suggèrent même que les auteurs des deux ransomware variantes pourrait être le même.
Mauvais Lapin ransomware a été nommé d’après les termes de référence de la page de paiement exigeants bitcoin.
Image: iStock
“Les techniques d’évasion présents dans les modifications apportées à la DoublePulsar porte dérobée dans Nyetya et EternalRomance de Mauvaise Lapin démontrent similaires, des niveaux avancés de la compréhension des exploits impliqués, le réseau des détections en place au moment du déploiement, et en général le noyau de Windows d’exploitation”, a déclaré Nick Biasini, la menace chercheur à Talos de Sensibilisation
Voir aussi: Mauvaise Lapin: Dix choses que vous devez savoir à propos de la dernière épidémie ransomware
Avec EternalBlue, le EternalRomance vulnérabilité a été corrigée par Microsoft de retour en Mars, ce qui suggère que ceux qui sont infectés par ce ransomware éclosion étaient encore à appliquer la mise à jour critique, en dépit de l’impact de haut-profil d’incidents.
Plus de nouvelles de sécurité
Alors que le Congrès et la surveillance des réformes, voici les bons, les mauvais et laid options
Mauvais Lapin ransomware propagation à l’aide de fuites de la NSA EternalRomance exploiter, des chercheurs de confirmer
WannaCry ransomware: les Hôpitaux ont été avertis de patch système de protection contre les cyber-attaque, mais n’a pas
Les pirates peuvent accéder à des navires de données par le biais d’un backdoor dans
Nommé Mauvais Lapin après les termes de référence de la page de paiement pour la collecte des rançons, le ransomware frapper des cibles, y compris le russe dans les médias, le métro de Kiev système, et l’Aéroport International d’Odessa en Ukraine.
Un certain nombre d’organisations en Allemagne, la Corée du Sud et la Pologne ont également été signalés à avoir été victime, mais le nombre total des infections a été de loin inférieur à celui observé avec WannaCry et Petya, avec moins de 200 organisations concernées.
Il n’est pas clair combien de personnes touchées payés, mais les victimes sont dirigées vers un Tor page de paiement qui exige un paiement de 0,05 bitcoin (autour de $285) pour décrypter les fichiers. Ils sont menacés de la hausse du prix si elles ne paient pas dans un peu moins de 48 heures, bien qu’un certain nombre de fournisseurs de solutions de sécurité ont dit maintenant l’infrastructure utilisée pour recueillir les paiements est maintenant en baisse.
Mauvais Lapin se propage via les téléchargements sur les sites web piratés. Plutôt que d’être livrés par les exploits, les visiteurs de sites compromis — dont beaucoup avaient été sous le contrôle de pirates pour le mois — a dit d’installer une mise à jour Flash.
Ce téléchargement malveillant par la suite installé le ransomware à ce qui semblait être spécialement sélectionnés cibles, bien que l’on ignore quel est le raisonnement derrière le choix de la victimes.
Ce qui est évident, c’est la façon dont l’aide des exploits comme EternalRomance est en train de devenir de plus en plus fréquente méthode de propagation ransomware.
“C’est en train de devenir la nouvelle norme pour le paysage des menaces. Les menaces de se propager rapidement, pour une courte fenêtre, afin d’infliger un maximum de dégâts”, a déclaré Biasini.
Liés à la couverture
Mauvais Lapin: Dix choses que vous devez savoir à propos de la dernière épidémie ransomware
C’est la troisième grande épidémie de l’année – voici ce que nous savons jusqu’à présent.
Mauvais Lapin ransomware: Une nouvelle variante de Petya se répand, mettent en garde des chercheurs
Mise à jour: les Organisations de la Russie, de l’Ukraine et d’autres pays ont été victimes de ce qui est pensé pour être une nouvelle variante de ransomware.
LIRE PLUS SUR LA CYBERCRIMINALITÉ
Mauvais Lapin ransomware attaque les morsures de l’Europe [CNET]WannaCry ransomware: les Hôpitaux ont été avertis de patch système de protection contre les cyber-attaque, mais n’a’tAfter WannaCry, ransomware va empirer avant de s’better6 conseils pour éviter les ransomware après Petya et WannaCry [TechRepublic]Votre incapacité à appliquer la critique de la cybersécurité des mises à jour est de mettre votre entreprise à risque à partir de la prochaine WannaCry ou Petya
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0