Útoky ransomwaru Bad Rabbit upozorňují na riziko šíření malwarových katastrof

Written by on in Articles

V úterý 24. října 2017 ráno ohlásily organizace v Rusku a na Ukrajině, že je zasáhla epidemie ransomwaru, která ochromila jejich provoz. Sporadické případy byly podle zpráv z různých zdrojů zaznamenány také v Turecku, Německu, Bulharsku a Japonsku.

Škodlivý software s vlastním názvem Bad Rabbit je ransomwarový kód určený k zašifrování a uzamčení souborů na koncových bodech a následnému požadování platby za jejich uvolnění. Bad Rabbit je také název webu Dark Web, kde jsou oběti vedeny k zaplacení za odemčení svých souborů.

V době psaní tohoto článku se předpokládá, že Bad Rabbit zasáhl především organizace v Rusku. Přesněji řečeno, proniká do médií v zemi. V prohlášeních poskytnutých některými z postižených subjektů bylo uvedeno, že servery jsou kvůli probíhajícímu útoku mimo provoz.

Na Ukrajině útok zasáhl organizace kritické infrastruktury v odvětví dopravy. Jednou z obětí je letiště v Oděse, které se nachází ve třetím největším městě v zemi, což způsobilo zpoždění letů kvůli ručnímu zpracování údajů o cestujících. Na Ukrajině byl zasažen také systém metra, což způsobilo zpoždění plateb na terminálech pro obsluhu zákazníků, ačkoli vlaky nadále jezdily normálně.

Po červech WannaCry a NotPetya, které zasáhly řadu organizací ve druhém čtvrtletí roku 2017, je útok Bad Rabbit třetím rušivým útokem ransomwaru v tomto roce. Přitom technika šíření Bad Rabbitu není založena na stejných exploitech, což může celkově usnadnit jeho potlačení.

Stáhněte si průvodce reakcí na ransomware od IBM INCIDENT RESPONSE SERVICES

Šíření Bad Rabbitu

Na základě aktuálně dostupných informací se Bad Rabbit na rozdíl od většiny finančně motivovaného ransomwaru nešíří prostřednictvím e-mailu. Podle společnosti IBM X-Force, která analyzuje miliardy spamových a malspamových zpráv, nebyl Bad Rabbit rozeslán v rámci e-mailové kampaně. Některé hlasy v bezpečnostní komunitě se domnívají, že se jedná o cílený útok, který mohl být připravován několik měsíců, ale to se zatím nepotvrdilo.

Aby se Bad Rabbit dostal na koncové body uživatelů, provozovatelé kompromitovali zpravodajské a mediální weby, aby návštěvníky přesměrovali na škodlivé vstupní stránky, které mají pod kontrolou. Na těchto stránkách bylo uživatelům doporučeno, aby si nainstalovali aktualizaci Adobe Flash, načež došlo ke stažení škodlivého softwaru, který doručil malwarový dropper v takzvaném drive-by útoku – nevyžadoval žádnou akci, aby se soubor dostal do koncového bodu.

Ti, kteří pokračovali a soubor spustili, nevědomky vypustili malware na své koncové body a viděli, jak jsou jejich soubory zašifrované. V poznámce provozovatelé malwaru požadují výkupné ve výši 0,05 BTC za odblokování souborů.

Podle informací z bezpečnostní komunity byly webové stránky použité k šíření malwaru hostovány na stejných serverech, které byly použity k šíření malwaru NotPetya v červnu 2017. Tato síť předem určených webových stránek byla zřejmě vytvářena v průběhu času od července 2017.

Pozoruhodná zmínka jednoho z dodavatelů bezpečnostních řešení uvádí, že všechny společnosti byly infikovány přibližně ve stejnou dobu. Tento dodavatel spekuloval, že útočníci již mohli být v systémech některých obětí. V takovém případě by útočníci nemohli spustit malware přímo?

Tato otázka vyvolává další možnost: Je možné, že každé oběti byl zaslán alespoň jeden cílený e-mail s návnadou, která je měla dostat na některou z infikovaných mediálních stránek v rámci útoku ve stylu watering hole? Jakmile se objevil jeden infikovaný uživatel, mohl se malware šířit dál od pacienta nula.

Přesun po sítích

Zlý králík se šíří po sítích pomocí některých nástrojů, které mu pomáhají dostat se na další koncové body. Podle IBM X-Force využívá malware funkci SMB systému Windows, která však nesouvisí s metodou dříve používanou exploitem EternalBlue. Naši výzkumníci také vidí, že malware vydává požadavky HTTP OPTIONS na portu 80 pro /admin$, což naznačuje použití WebDAV jako součásti schématu.

Dále se zdá, že Bad Rabbit využívá nástroj Mimikatz – který byl vytvořen jako testovací nástroj, a ne pro škodlivé účely, ale přesto je útočníky často používán – k získání hesel dalších uživatelů v síti. Škodlivý software také obsahoval některá základní pevně zadaná hesla. Kupodivu to byla údajně nejoblíbenější hesla, která se používala podle filmu „Hackeři“ z roku 1995.“

Požadavek na zaplacení

Zlý králík požaduje výkupné 0,05 BTC za uvolnění zámku umístěného na zašifrovaných souborech. V době psaní tohoto článku stojí 1 BTC přibližně 5 450 dolarů, což znamená, že počáteční požadavek na výkupné by činil zhruba 273 dolarů. Na obrazovce infikovaného koncového bodu se objeví oznámení o výkupném, které uživatele odkazuje na přístup ke speciální webové službě.

Po vstupu na webovou stránku útočníka, která je umístěna v síti Tor, aby byla komunikace anonymní, je oběť upozorněna, že má na zaplacení pouze asi 41 hodin. Poté se oběti zobrazí hodiny odpočítávající čas, které čekají na „heslo“ – dešifrovací klíč k odemčení jejích souborů. V době vydání tohoto oznámení nebylo potvrzeno, že útočníci skutečně dokáží soubory dešifrovat.

Probíhající situace

Útoky Bad Rabbit se vyvíjejí s tím, jak dodavatelé zabezpečení zveřejňují další informace a organizace se dozvídají více informací a omezují útoky. Pokud jste zákazníkem IBM, přejděte na stránku X-Force Exchange, kde najdete speciální stránku o reakci na útoky Bad Rabbit pomocí produktů IBM Security. Technické aktualizace přímo z oddělení X-Force Research společnosti IBM Security naleznete v naší sbírce X-Force Exchange, kde budou naše výzkumné týmy a týmy pro reakci na incidenty poskytovat informace podle vývoje situace.

Všem organizacím důrazně doporučujeme, aby v následujících hodinách a dnech informovaly zaměstnance o propuknutí nákazy, vysvětlily průběh infekce a zůstaly vůči Bad Rabbit mimořádně ostražité.

Bad Rabbit v době vydání této zprávy nezasáhl společnosti v USA, ačkoli jeden z dodavatelů antivirových programů uvedl, že jeho telemetrie vykazuje některé infekce v USA. Vzhledem k tomu, pokud se objeví jakýkoli náznak infekce, informujte po jeho zjištění Centrum pro stížnosti na internetovou kriminalitu FBI (IC3).

Mimo USA, se organizacím doporučuje, aby o jakékoli infekci spojené s kampaní Bad Rabbit informovaly svůj Community Emergency Response Team (CERT) a policii zabývající se elektronickou kriminalitou.

Pokud se domníváte, že vaše společnost byla zasažena, a potřebujete pomoc, zavolejte prosím na horkou linku IBM X-Force 24×7 Incident Response Hotline:

IRIS EMEA 24×7 Hotline

UAE: (+971) 800 044 424 17

IRIS North America 24×7 Hotline

USA: (+1) 888 241 9812

Dánsko: (+45) 4331 4987

Finsko: (+358) 9725 22099

Lotyšsko: (+371) 6616 3849

Norsko: (+966) 800 844 3872

Saúdská Arábie: (+966) 800 850 0399

Švédsko: (+46) 8502 52313

UK: (Podle průzkumu společnosti IBM 70 % podniků, které byly dříve zasaženy ransomwarem, uvedlo, že zaplatily výkupné za obnovení firemních dat. Z této části 50 procent zaplatilo více než 10 000 dolarů a 20 procent zaplatilo více než 40 000 dolarů. Je důležité si uvědomit, že zaplacení útočníkům nezaručuje obnovení přístupu.

Organizacím a jednotlivcům postiženým útokem Bad Rabbit se nedoporučuje platit útočníkům. V době psaní tohoto článku vydali výrobci antivirových programů signatury a některé možnosti dešifrování, které mohou pomoci odemknout zašifrované soubory.

Útok byl s největší pravděpodobností veden spíše za účelem narušení bezpečnosti než finančního zisku. Další rady týkající se omezení útoku a pokrytí produkty IBM budou k dispozici v následujících hodinách.

Všeobecné rady týkající se ochrany systémů před ransomwarem naleznete v našem Průvodci reakcí na ransomware.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.