Nul
Een nieuwe ransomware-campagne heeft hit van een aantal high profile doelen in Rusland en Oost-Europa.
Nagesynchroniseerde Slechte Konijn, de ransomware eerst begonnen met het infecteren van systemen op dinsdag 24 oktober, en de manier waarop organisaties lijken te zijn geraakt tegelijkertijd onmiddellijk trok vergelijkingen van dit jaar WannaCry en Petya epidemieën.
Na de eerste uitbraak, was er wat verwarring over wat er precies Slecht Konijn is. Nu de eerste paniek is overleden omlaag, echter, het is mogelijk om af te graven in wat er precies aan de hand is.
1. De cyber-aanval heeft getroffen organisaties in Rusland en Oost-Europa
Organisaties over de russische en de Oekraïne — alsmede een klein aantal in Duitsland en Turkije — slachtoffer te worden van de ransomware. Onderzoekers van Avast zeggen ze hebben ook vastgesteld dat de malware in Polen en Zuid-Korea.
Russische cybersecurity company Group-IB bevestigd ten minste drie media-organisaties in het land is getroffen door bestand-het versleutelen van malware, terwijl op hetzelfde moment het russische persbureau Interfax gezegd haar systemen zijn aangetast door een ‘hacker aanval” — en waren schijnbaar knocked off van het incident.
Andere organisaties in de regio, met inbegrip van de Internationale Luchthaven van Odessa en Kiev Metro ook verklaringen afgelegd over het slachtoffer te worden van een cyber-aanval, terwijl CERT-UA, het Computer Emergency Response Team van Oekraïne, ook gepost dat het “mogelijk begin van een nieuwe golf van cyberaanvallen Oekraïne information resources’ had plaatsgevonden, aangezien de rapporten van Slechte Konijn infecties begon te komen.
Op het moment van schrijven, dacht dat er zijn bijna 200 besmet doelen en aangeeft dat dit niet een aanval als WannaCry of Petya was — maar het is nog steeds de problemen voor zijn besmet organisaties.
“De totale prevalentie van bekende samples is vrij laag vergeleken met de andere “gewone” stammen”, zei Jakub Kroustek, malware analist bij Avast.
2. Het is zeker de ransomware
Ongelukkigen, die het slachtoffer van de aanval en al snel realiseerde wat er was gebeurd omdat de ransomware is niet subtiel — presenteert slachtoffers met een rantsoen opmerking vertellen ze hun bestanden niet meer toegankelijk zijn”, en “niemand zal in staat zijn om ze te herstellen zonder onze decodering service”.
Slechte Konijn losgeld opmerking.
Afbeelding: ESET
Slachtoffers worden doorverwezen naar een Tor betaalpagina en een countdown timer. Betalen binnen de eerste 40 uur of zo, ze verteld worden, en de betaling voor het decoderen van bestanden is 0,05 bitcoin — rond de $285. Degenen die niet het losgeld betalen voordat de timer nul bereikt is verteld dat de vergoeding omhoog zal gaan en zullen ze meer moeten betalen.
Slechte Konijn betaalpagina.
Afbeelding: Kaspersky Lab
De encryptie gebruikt DiskCryptor, die is open source legitieme en software die worden gebruikt voor de volledige schijf versleuteling. De sleutels zijn gegenereerd met behulp van CryptGenRandom en dan beschermd door een harde RSA 2048 openbare sleutel.
3. Het is gebaseerd op Petya/Niet Petya
Als het losgeld opmerking ziet er bekend uit, dat komt omdat het bijna identiek aan de slachtoffers van juni is Petya uitbraak zag. De overeenkomsten zijn niet alleen cosmetisch of — Slecht Konijn aandelen achter-de-schermen-elementen met Petya ook.
Analyse door onderzoekers van Crowdstrike heeft gevonden die Slecht Konijn en NotPetya de DLL (dynamic link library) aandeel van 67 procent van de dezelfde code, met vermelding van de twee ransomware-varianten zijn nauw met elkaar verbonden, mogelijk zelfs het werk van dezelfde bedreiging acteur.
4. Het verspreidt zich via een nep Flash-update op besmette websites
De belangrijkste manier Slecht Konijn zich verspreidt is de drive-by downloads op de gehackte websites. Geen exploits worden gebruikt, en niet de bezoekers naar besmette websites — sommige van die aangetast is sinds juni — verteld dat ze nodig hebben voor het installeren van een Flash-update. Natuurlijk, dit is geen Flash-update, maar een druppelaar voor de schadelijke installeren.
Een gehackte website met de vraag van een gebruiker aan het installeren van een nep Flash-update die verdeelt Slechte Konijn.
Afbeelding: ESET
Geïnfecteerde websites, meestal gebaseerd in Rusland, Bulgarije en Turkije — worden aangetast door het hebben van JavaScript geïnjecteerd in hun HTML-lichaam of in een van hun .js-bestanden.
5. Het kan zich zijdelings over netwerken…
Net als Petya, Slechte Konijn wordt geleverd met een krachtige truc uit de mouw bevat een SMB-component die het mogelijk maakt te verplaatsen naar lateraal over een geïnfecteerde netwerk en het uitdragen zonder interactie van de gebruiker, zeggen onderzoekers van Cisco Talos.
Wat aids Slechte Konijn de mogelijkheid om zich te verspreiden is een lijst van eenvoudige gebruikersnaam en wachtwoord combinaties die zij kunnen benutten om brute-force zijn weg over netwerken. De zwakke wachtwoorden lijst bestaat uit een aantal van de gebruikelijke verdachten voor zwakke wachtwoorden, zoals simpele aantal combinaties en ‘wachtwoord’.
6. … maar het maakt geen gebruik van EternalBlue
Meer nieuws over beveiliging
Na rustig de besmetting van een miljoen toestellen, Reaper botnet ingesteld zijn erger dan de Mirai
Slechte Konijn ransomware: Een nieuwe variant van Petya is het verspreiden waarschuwen onderzoekers
Donkere web verkopers verkopen op afstand toegang tot zakelijke Pc ‘ s voor zo weinig als $3
Hackers vallen energiebedrijven, het stelen van kritische gegevens: Hier is hoe ze het doen
Bij Slecht Konijn voor het eerst verscheen, een paar gesuggereerd dat als WannaCry, het gebruik van de EternalBlue benutten om zich te verspreiden. Echter, dit nu niet het geval lijken te zijn.
“We hebben momenteel geen bewijs dat de EternalBlue exploit wordt gebruikt om de infectie te verspreiden,” Martin Lee, Technical Lead voor Veiligheid Onderzoek bij Talos vertelde ZDNet.
7. Het kan niet willekeurig
Op hetzelfde punt na de WannaCry uitbraak, honderdduizenden systemen over de hele wereld het slachtoffer geworden van ransomware. Echter, Slechte Konijn lijkt niet lukraak te infecteren doelstellingen, eerder onderzoekers hebben gesuggereerd dat het infecteert alleen geselecteerde doelen.
“Onze bevindingen suggereren dat het een gerichte aanval tegen corporate netwerken”, zegt Kaspersky Lab onderzoekers.
Ondertussen, hebben de onderzoekers van ESET zeggen instructies in het script geïnjecteerd in geïnfecteerde websites “kunt bepalen of de bezoeker van belang is en vervolgens voeg inhoud toe aan de pagina” als het doel is geschikt geacht voor infectie.
Echter, in dit stadium, er is geen voor de hand liggende reden waarom media-organisaties en infrastructuur in Rusland en Oekraïne is specifiek gericht op deze aanval.
8. Het is niet duidelijk wie achter het
Op dit moment is het nog onbekend wie is de distributie van de ransomware of waarom, maar de gelijkenis met Petya heeft ertoe geleid dat sommige onderzoekers suggereren dat Slechte Konijn is door dezelfde aanval groep — hoewel dat niet helpen bij het identificeren van de aanvaller of het motief, omdat de dader van juni de epidemie is nog nooit vastgesteld.
Wat typeert deze aanval is hoe hij het heeft voornamelijk besmet Rusland – Oost-Europa cybercrimineel organisaties hebben de neiging om te voorkomen dat de aanval op het ‘moederland’, wat aangeeft dit waarschijnlijk een russische groep.
9. Bevat het Spel der Tronen referenties
Wie er achter Slechte Konijn, dan lijken ze een fan van het Spel der Tronen: de code bevat verwijzingen naar Viserion, Drogon, en Rhaegal, de draken die functie in tv-serie en de romans het gebaseerd is. De auteurs van de code zijn daarom niet te doen, veel te veranderen, het stereotype beeld van hackers wordt geeks en nerds.
Verwijzingen naar Spel der Tronen draken in de code.
Afbeelding: Kaspersky Lab
10. Je kunt jezelf te beschermen tegen besmetting door het
In dit stadium, het is onbekend of het ook mogelijk is om bestanden te decoderen vergrendeld door Slechte Konijn zonder toe te geven en het betalen van het losgeld – hoewel onderzoekers zeggen dat degenen die het slachtoffer moet niet betalen, want het zal alleen maar aanmoedigen van de groei van ransomware.
Een aantal leveranciers van beveiligingsoplossingen zeggen hun producten te beschermen tegen Slechte Konijn. Maar voor degenen die willen om zeker te zijn dat ze geen potentieel slachtoffer van de aanval, Kaspersky Lab zegt dat gebruikers kan blokkeren van de uitvoering van het bestand ‘c: windows infpub.dat C: Windows cscc.dat.’ teneinde infectie te voorkomen.
Vorige dekking
Slechte Konijn ransomware: Een nieuwe variant van Petya is het verspreiden, waarschuwen onderzoekers
Bijgewerkt: Organisaties in Rusland, Oekraïne en andere landen hebben slachtoffer te worden van wat wordt gedacht aan een nieuwe variant van ransomware.
LEES MEER OVER RANSOMWARE
Na WannaCry, ransomware zal erger worden voordat het beter wordt Ransomware: Een executive gids naar één van de grootste bedreigingen op de web6 tips om te voorkomen dat ransomware na Petya en WannaCry (TechRepublic)Uw niet-toepassing kritische cybersecurity-updates is het zetten van uw bedrijf op risico van de volgende WannaCry of PetyaHow om jezelf te beschermen tegen WannaCry ransomware (CNET)
0