Tirsdag morgen, Oct. 24, 2017, rapporterede organisationer i Rusland og Ukraine, at de blev ramt af et ransomware-udbrud, der lammede deres aktiviteter. Sporadiske tilfælde blev også registreret i Tyrkiet, Tyskland, Bulgarien og Japan, ifølge rapporter fra forskellige kilder.
Malware, selvbetitlet Bad Rabbit, er en ransomware-kode, der er designet til at kryptere og låse filer på endpoints og derefter kræve betaling for at frigive dem. Bad Rabbit er også navnet på et Dark Web-website, hvor ofrene bliver opfordret til at betale for at få deres filer låst op.
I skrivende stund har Bad Rabbit efter sigende især ramt organisationer i Rusland. Mere specifikt er den ved at bryde ud på medier i landet. I erklæringer fra nogle af de berørte enheder blev det rapporteret, at servere var nede på grund af det igangværende angreb.
I Ukraine ramte angrebet organisationer inden for kritisk infrastruktur i transportsektoren. Et af ofrene er lufthavnen i Odessa, som ligger i landets tredjestørste by, hvilket forårsagede flyforsinkelser på grund af manuel behandling af passageroplysninger. Ukraine oplevede også, at landets metrosystem blev ramt, hvilket forårsagede betalingsforsinkelser på terminaler med kundeservice, selv om togene fortsatte med at køre normalt.
Bad Rabbit er det tredje forstyrrende ransomware-udbrud i år efter WannaCry- og NotPetya-ormene, der ramte adskillige organisationer i andet kvartal af 2017. Når det er sagt, er Bad Rabbits udbredelsesteknik ikke baseret på de samme exploits, hvilket kan gøre den lettere at inddæmme samlet set.
Download Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES
The Propagation of Bad Rabbit
Baseret på de nuværende tilgængelige oplysninger spredes Bad Rabbit, i modsætning til de fleste økonomisk motiverede ransomware, ikke via e-mail. Ifølge IBM X-Force, som analyserer milliarder af spam- og malspam-meddelelser, blev Bad Rabbit ikke sendt som led i en e-mail-kampagne. Nogle stemmer i sikkerhedsmiljøet mener, at udbruddet er et målrettet angreb, der kan have været flere måneder undervejs, men det er endnu ikke bekræftet.
For at nå frem til brugernes slutpunkter har Bad Rabbits operatører kompromitteret nyheds- og mediesider for at få de besøgende omdirigeret til ondsindede landingssider, som de kontrollerer. På disse sider blev brugerne opfordret til at installere en Adobe Flash-opdatering, hvorefter der fandt en ondsindet download sted, som leverede malware-dropperen i det, der kaldes et drive-by-angreb – der ikke kræver nogen handling for at lægge en fil på slutpunktet.
De, der gik videre og udførte filen, udløste uden at vide det malware på deres slutpunkter og så deres filer krypteret. Malwareoperatørernes notat kræver 0,05 BTC i løsesum for at låse filerne op.
I henhold til oplysninger fra sikkerhedsfællesskabet blev de websteder, der blev brugt til at sprede malware, hostet på de samme servere, som blev brugt til at distribuere NotPetya-malware i juni 2017. Dette netværk af forudbestemte websteder blev tilsyneladende oprettet over tid siden juli 2017.
En bemærkelsesværdig omtale fra en sikkerhedsleverandør rapporterede, at alle virksomheder blev inficeret omkring samme tidspunkt. Denne leverandør spekulerede i, at angriberne måske allerede var i nogle af ofrenes systemer. I så fald ville angriberne ikke være i stand til at lancere malware direkte?
Dette spørgsmål rejser en anden mulighed: Er det muligt, at der blev sendt mindst én målrettet e-mail til hvert offer med en lokkemad, der skulle få dem til at gå til et af de inficerede mediesites i et angreb i stil med et vandhul? Når der først var én inficeret bruger, kunne den skadelige software have spredt sig videre fra patient nul.
Bevægelse gennem netværk
Bad Rabbit spreder sig på tværs af netværk ved hjælp af nogle værktøjer, der hjælper den med at komme til yderligere slutpunkter. Ifølge IBM X-Force bruger malware en Windows SMB-funktion, men den er ikke relateret til den metode, der tidligere blev brugt af EternalBlue-angrebet. Vores forskere ser også, at malware udsender HTTP OPTIONS-forespørgsler på port 80 for /admin$, hvilket tyder på, at der anvendes WebDAV som en del af planen.
Dertil kommer, at Bad Rabbit tilsyneladende udnytter Mimikatz-værktøjet – som blev udviklet som et testværktøj og ikke til skadelige formål, men som alligevel ofte anvendes af angribere – til at hente adgangskoderne for andre brugere på netværket. Malwaren havde også nogle grundlæggende hardcodede adgangskoder. Mærkeligt nok var det angiveligt de mest populære passwords, der blev brugt, ifølge filmen “Hackers” fra 1995.”
Betalingskrav
Bad Rabbit kræver 0,05 BTC i løsesum for at frigøre den lås, der er placeret på de krypterede filer. I skrivende stund går 1 BTC for ca. 5.450 dollars, hvilket betyder, at det oprindelige krav om løsepenge ville være ca. 273 dollars. Løsesedlen vises på det inficerede slutpunkts skærm og henviser brugeren til at få adgang til en dedikeret webtjeneste.
Når man er på angriberens websted, som er hostet på Tor-netværket for at holde kommunikationen anonymiseret, bliver offeret advaret om, at han eller hun kun har ca. 41 timer til at betale. Offeret får derefter vist et nedtællingsur, der venter på et “password” – dekrypteringsnøglen til at låse hans eller hendes filer op. På tidspunktet for denne meddelelse er det ikke blevet bekræftet, at angriberne rent faktisk kan dekryptere filerne.
En igangværende situation
Der sker en udvikling af Bad Rabbit-angrebene i takt med, at sikkerhedsleverandørerne frigiver flere oplysninger, og organisationerne lærer mere og inddæmmer angrebene. Hvis du er IBM-kunde, kan du gå til X-Force Exchange for at se en dedikeret side om at reagere på Bad Rabbit-angrebene med IBM’s sikkerhedsprodukter. Hvis du vil have tekniske opdateringer direkte fra IBM Securitys X-Force Research, skal du gå til vores X-Force Exchange-samling, hvor vores forsknings- og incidentresponsteams vil give oplysninger, efterhånden som situationen udvikler sig.
Alle organisationer anbefales kraftigt at informere medarbejderne om udbruddet, forklare infektionsstrømmen og forblive ekstremt årvågne over for Bad Rabbit i de kommende timer og dage.
Bad Rabbit har ikke påvirket virksomheder i USA på tidspunktet for denne udgivelse, selv om en antivirusleverandør har oplyst, at dens telemetri viser nogle infektioner i USA. På baggrund af dette bør man, hvis der opstår tegn på infektion, informere FBI’s Internet Crime Complaint Center (IC3), når man opdager det.
Ude i USA, organisationer opfordres til at informere deres Community Emergency Response Team (CERT) og e-kriminalitetspolitiet om infektioner, der er forbundet med Bad Rabbit-kampagnen.
Hvis du mener, at din virksomhed er blevet ramt, og du har brug for hjælp, bedes du ringe til din IBM X-Force 24×7 Incident Response Hotline:
IRIS EMEA 24×7 Hotline
UAE: (+971) 800 044 424 17
IRIS North America 24×7 Hotline
USA: (+1) 888 241 9812
Danmark: (+1) 888 241 9812
Danmark: (+1) 888 241 9812
(+45) 4331 4987
Finland: (+45) 4331 4987
Finland: (+358) 9725 22099
Letland: (+358) 9725 22099
Letland: (+371) 6616 3849
Norge: (+371) 6616 3849
Norge: (+47) 2302 4798
Saudi Arabien: (+47) 2302 4798
Saudi Arabien: (+966) 800 844 3872
Saudi Arabien: (+966) 800 844 3872
Saudi Arabien: (+966) 800 850 0399
Sverige: (+966) 800 850 0399
Sverige: (+46) 8502 52313
SVERIGE: (+46) 8502 52313
UK: (+44) 20 3684 4872
Don’t Pay Ransomware Attackers
I henhold til en IBM-undersøgelse har 70 procent af de virksomheder, der tidligere er blevet ramt af ransomware, angivet, at de har betalt løsesummen for at få virksomhedsdata tilbage. Af denne andel betalte 50 procent over 10.000 dollars, og 20 procent betalte over 40.000 dollars. Det er vigtigt at bemærke, at det ikke er en garanti for at genvinde adgangen at betale angriberne.
Organisationer og enkeltpersoner, der er ramt af Bad Rabbit, frarådes at betale angriberne. I skrivende stund har antivirusleverandører frigivet signaturer og nogle dekrypteringsmuligheder, der kan hjælpe med at låse op for krypterede filer.
Angrebet var højst sandsynligt designet med henblik på forstyrrelse snarere end økonomisk gevinst. Flere råd om inddæmning og IBM-produktdækning vil blive gjort tilgængelige i de kommende timer.
For generelle råd om at holde dine systemer sikre mod ransomware, kan du læse vores Ransomware Response Guide.