Tiistaiaamuna 24.10.2017 venäläiset ja ukrainalaiset organisaatiot ilmoittivat joutuneensa lunnasohjelmapurkauksen kohteeksi, joka halvaannutti niiden toiminnan. Eri lähteistä saatujen raporttien mukaan satunnaisia tapauksia kirjattiin myös Turkissa, Saksassa, Bulgariassa ja Japanissa.
Haittaohjelma, joka kantaa nimeä Bad Rabbit, on lunnasohjelmakoodi, joka on suunniteltu salaamaan ja lukitsemaan tiedostoja päätelaitteissa ja vaatimaan sitten maksua niiden vapauttamisesta. Bad Rabbit on myös nimi Dark Web -sivustolle, jossa uhreja houkutellaan maksamaan tiedostojensa vapauttamisesta.
Tämän kirjoituksen aikaan Bad Rabbitin tiedetään iskeneen lähinnä organisaatioihin Venäjällä. Tarkemmin sanottuna se on murtautunut maan tiedotusvälineisiin. Joidenkin kohteeksi joutuneiden organisaatioiden antamissa lausunnoissa kerrottiin, että palvelimet olivat poissa käytöstä meneillään olevan hyökkäyksen vuoksi.
Ukrainassa hyökkäys kohdistui kriittisen infrastruktuurin organisaatioihin kuljetusalalla. Yksi uhreista on maan kolmanneksi suurimmassa kaupungissa sijaitseva Odessan lentokenttä, joka aiheutti lentojen myöhästymisiä matkustajatietojen manuaalisen käsittelyn vuoksi. Ukrainan metrojärjestelmä kärsi myös, mikä aiheutti maksuviivästyksiä asiakaspalveluterminaaleissa, vaikka junat jatkoivat kulkuaan normaalisti.
Bad Rabbit on kolmas häiritsevä lunnasohjelmapurkaus tänä vuonna WannaCry- ja NotPetya-matojen jälkeen, jotka vaikuttivat lukuisiin organisaatioihin vuoden 2017 toisella neljänneksellä. Tästä huolimatta Bad Rabbitin leviämistekniikka ei perustu samoihin hyväksikäyttökohteisiin, mikä saattaa helpottaa sen rajoittamista kaiken kaikkiaan.
Lataa Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES
The Propagation of Bad Rabbit
Tämänhetkisten tietojen perusteella Bad Rabbit ei leviä sähköpostin välityksellä päinvastoin kuin suurin osa taloudellisesti motivoituneista lunnasohjelmista. IBM X-Forcen mukaan, joka analysoi miljardeja roskaposti- ja haittaohjelmaviestejä, Bad Rabbitia ei lähetetty sähköpostikampanjassa. Jotkut tietoturvayhteisön edustajat arvelevat, että kyseessä on kohdennettu hyökkäys, joka on saattanut kestää kuukausia, mutta tätä ei ole vielä vahvistettu.
Käyttäjien päätepisteisiin pääsemiseksi Bad Rabbitin käyttäjät vaaransivat uutis- ja mediasivustoja, jotta kävijät ohjattaisiin heidän hallitsemilleen haitallisille laskeutumissivuille. Näillä sivuilla käyttäjiä kehotettiin asentamaan Adobe Flash -päivitys, jolloin tapahtui haitallinen lataus, joka toimitti haittaohjelman niin sanotulla drive-by-hyökkäyksellä, jossa ei vaadittu mitään toimia tiedoston pudottamiseksi päätelaitteeseen.
Käyttäjät, jotka suorittivat tiedoston, vapauttivat tietämättään haittaohjelman päätelaitteisiinsa ja näkivät tiedostojensa salatun. Haittaohjelman operaattoreiden viestissä vaaditaan 0,05 BTC:n lunnaita tiedostojen avaamiseksi.
Turvayhteisön tietojen mukaan haittaohjelman levittämiseen käytettyjä verkkosivustoja isännöitiin samoilla palvelimilla, joita käytettiin NotPetya-haittaohjelman levittämiseen kesäkuussa 2017. Tätä ennalta määrättyjen verkkosivustojen verkostoa oli ilmeisesti luotu ajan myötä heinäkuusta 2017 lähtien.
Ensimmäisen tietoturvatoimittajan mainitseman huomionarvoisen maininnan mukaan kaikki yritykset saivat tartunnan samoihin aikoihin. Kyseinen myyjä arveli, että hyökkääjät saattoivat jo olla joidenkin uhrien järjestelmissä. Eivätkö hyökkääjät siinä tapauksessa voisi käynnistää haittaohjelmaa suoraan?
Tämä kysymys herättää toisen vaihtoehdon: Onko mahdollista, että jokaiselle uhrille lähetettiin ainakin yksi kohdennettu sähköpostiviesti, jossa oli houkutin, jolla uhrit houkuteltiin jollekin saastuneista mediasivustoista watering hole -tyyppisessä hyökkäyksessä? Kun oli yksi tartunnan saanut käyttäjä, haittaohjelma olisi voinut levitä eteenpäin potilaan nollapisteestä.
Liikkuminen verkoissa
Bad Rabbit leviää verkoissa käyttämällä joitain työkaluja, joiden avulla se pääsee ylimääräisiin päätelaitteisiin. IBM X-Forcen mukaan haittaohjelma käyttää Windowsin SMB-ominaisuutta, mutta se ei liity EternalBlue-hyökkäyksen aiemmin käyttämään menetelmään. Tutkijamme näkevät haittaohjelman myös lähettävän HTTP OPTIONS -pyyntöjä porttiin 80 osoitteeseen /admin$, mikä viittaa WebDAV:n käyttöön osana järjestelmää.
Lisäksi Bad Rabbit näyttäisi hyödyntävän Mimikatz-työkalua – joka on kehitetty testaustyökaluksi eikä haitallista tarkoitusta varten, mutta jota hyökkääjät käyttävät kuitenkin usein – muiden verkon käyttäjien salasanojen hankkimiseen. Haittaohjelmassa oli myös joitakin kovakoodattuja perussalasanoja. Kummallista kyllä, nämä olivat oletettavasti suosituimpia käytettyjä salasanoja vuonna 1995 julkaistun elokuvan ”Hackers” mukaan.”
Maksuvaatimus
Bad Rabbit vaatii 0,05 BTC:n lunnaita vapauttaakseen salattuihin tiedostoihin asetetun lukituksen. Tätä kirjoitettaessa 1 BTC:n arvo on noin 5450 dollaria, eli alkuperäinen lunnasvaatimus olisi noin 273 dollaria. Lunnasvaatimus ilmestyy tartunnan saaneen päätelaitteen näytölle ja ohjaa käyttäjää siirtymään omaan verkkopalveluun.
Hyökkääjän verkkosivulla, jota isännöidään Tor-verkossa yhteydenpidon anonymisoimiseksi, uhria varoitetaan, että hänellä on aikaa maksaa lunnaat vain noin 41 tuntia. Tämän jälkeen uhrille näytetään lähtölaskentakello, joka odottaa ”salasanaa” eli salauksen purkuavainta, jolla hänen tiedostojensa lukitus avataan. Tätä ilmoitusta laadittaessa ei ole vahvistettu, että hyökkääjät todella pystyvät purkamaan tiedostojen salauksen.
Jatkuva tilanne
Bad Rabbit -hyökkäykset kehittyvät sitä mukaa, kun tietoturvatoimittajat julkaisevat lisää tietoa ja organisaatiot oppivat lisää ja hillitsevät hyökkäyksiä. Jos olet IBM:n asiakas, selaa X-Force Exchange -sivustoa, jossa on oma sivu Bad Rabbit -hyökkäyksiin vastaamisesta IBM:n tietoturvatuotteilla. Jos haluat teknisiä päivityksiä suoraan IBM Securityn X-Force-tutkimukselta, käytä X-Force Exchange -kokoelmaamme, jossa tutkimus- ja vaaratilanteiden torjuntaryhmämme antavat tietoja tilanteen kehittyessä.
Kaikkia organisaatioita kehotetaan voimakkaasti tiedottamaan työntekijöille taudinpurkauksesta, selittämään tartuntojen kulkua ja pysymään erittäin valppaina Bad Rabbitin suhteen tulevina tunteina ja päivinä.
Bad Rabbit ei ole vaikuttanut yrityksiin Yhdysvalloissa tämän tiedotteen julkaisuhetkellä, vaikka yksi virustorjuntatoimittaja ilmoitti, että sen telemetria osoittaa joitakin tartuntoja Yhdysvalloissa. Tämän vuoksi, jos merkkejä tartunnasta ilmenee, ilmoittakaa FBI:n Internet Crime Complaint Centerille (IC3) heti, kun havaitsette sen.
Yhdysvaltojen ulkopuolella, organisaatioita kehotetaan ilmoittamaan omalle Community Emergency Response Team (CERT) -ryhmälleen ja sähköisen rikollisuuden poliisille kaikista Bad Rabbit -kampanjaan liittyvistä tartunnoista.
Jos uskot, että yrityksesi on kärsinyt tartunnasta ja tarvitset apua, soita IBM X-Force 24×7 Incident Response Hotline -puhelimeen:
IRIS EMEA 24×7 Hotline
UAE: (+971) 800 044 424 17
IRIS North America 24×7 Hotline
USA: (+1) 888 241 9812
Tanska: (+45) 4331 4987
Suomi: (+358) 9725 22099
Latvia: (+371) 6616 3849
Norja: (+47) 2302 4798
Saudi-Arabia: (+966) 800 844 3872
Saudi-Arabia: (+966) 800 850 0399
Ruotsi: (+46) 8502 52313
ISO-BRITANNIA: (+44) 20 3684 4872
Älkää maksako lunnasohjelmahyökkääjille
IBM:n tutkimuksen mukaan 70 prosenttia yrityksistä, joihin lunnasohjelmat ovat aiemmin iskeneet, ilmoitti maksaneensa lunnaat yrityksen tietojen palauttamiseksi. Tästä osuudesta 50 prosenttia maksoi yli 10 000 dollaria ja 20 prosenttia yli 40 000 dollaria. On tärkeää huomata, että hyökkääjille maksaminen ei takaa pääsyn palauttamista.
Organisaatioita ja yksityishenkilöitä, joihin Bad Rabbit on vaikuttanut, kehotetaan olemaan maksamatta hyökkääjille. Tätä kirjoitettaessa virustorjuntatoimittajat ovat julkaisseet allekirjoituksia ja joitakin purkuvaihtoehtoja, jotka voivat auttaa avaamaan salattujen tiedostojen lukituksen.
Hyökkäys suunniteltiin todennäköisesti pikemminkin häiriöiden kuin taloudellisen hyödyn vuoksi. Lisää neuvoja leviämisen estämisestä ja IBM:n tuotteiden kattavuudesta annetaan lähitunteina.
Yleisiä neuvoja järjestelmien suojaamisesta kiristysohjelmilta löydät Ransomware Response Guide -oppaastamme.