2017. október 24-én, kedden reggel oroszországi és ukrajnai szervezetek arról számoltak be, hogy egy zsarolóvírus járvány kitört, amely megbénította a működésüket. Különböző forrásokból származó jelentések szerint szórványos eseteket regisztráltak Törökországban, Németországban, Bulgáriában és Japánban is.
A Bad Rabbit önelnevezésű malware egy zsarolóvírus kód, amelyet arra terveztek, hogy a végpontokon lévő fájlokat titkosítja és zárolja, majd azok felszabadításáért fizetést követel. Bad Rabbit a neve egy sötét webes oldalnak is, ahol az áldozatoknak fizetniük kell a fájljaik feloldásáért.
A Bad Rabbit e cikk írásakor úgy tudni, hogy főként oroszországi szervezeteket támadott meg. Pontosabban az ország médiaszervezetein tör ki. Néhány érintett szervezet által adott nyilatkozatban arról számoltak be, hogy a folyamatban lévő támadás miatt leálltak a szerverek.
Ukrajnában a támadás a közlekedési ágazatban működő kritikus infrastruktúrájú szervezeteket érte. Az egyik áldozat az ország harmadik legnagyobb városában található odesszai repülőtér, amely az utasadatok manuális feldolgozása miatt késéseket okozott a járatoknak. Ukrajnában a metrórendszer is érintett volt, ami fizetési késéseket okozott az ügyfélszolgálati terminálokon, bár a vonatok továbbra is normálisan közlekedtek.
A Bad Rabbit a harmadik zavaró zsarolóvírus-kitörés idén, a 2017 második negyedévében számos szervezetet érintő WannaCry és NotPetya férgek után. Ennek ellenére a Bad Rabbit terjedési technikája nem ugyanazokon az exploitokon alapul, ami összességében könnyebbé teheti a megfékezését.
Download the Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES
The Propagation of Bad Rabbit
A jelenleg rendelkezésre álló információk alapján a Bad Rabbit a legtöbb pénzügyileg motivált zsarolóprogrammal ellentétben nem e-mailben terjed. Az IBM X-Force szerint, amely több milliárd spam és malspam üzenetet elemez, a Bad Rabbitot nem e-mail kampányban küldték el. A biztonsági közösségben egyesek úgy vélik, hogy a járvány kitörése célzott támadás, amely hónapok óta készülhetett, de ezt még nem erősítették meg.
A felhasználói végpontok eléréséhez a Bad Rabbit üzemeltetői hír- és médiaoldalakat kompromittáltak, hogy a látogatókat az általuk irányított rosszindulatú céloldalakra irányítsák át. Ezeken az oldalakon a felhasználóknak azt javasolták, hogy telepítsenek egy Adobe Flash-frissítést, és ekkor egy rosszindulatú letöltés történt, amely az úgynevezett drive-by-támadás keretében szállította a malware droppert – nem kért semmilyen műveletet a fájlnak a végponton való elhelyezéséhez.
Akik folytatták és végrehajtották a fájlt, tudtukon kívül szabadjára engedték a malware-t a végpontjukon, és látták, hogy a fájljaik titkosítva vannak. A malware üzemeltetőinek feljegyzése 0,05 BTC váltságdíjat követel a fájlok feloldásáért.
A biztonsági közösségtől származó információk szerint a malware terjesztéséhez használt weboldalakat ugyanazokon a szervereken üzemeltették, amelyeket 2017 júniusában a NotPetya malware terjesztéséhez használtak. Ezt az előre meghatározott weboldalakból álló hálózatot nyilvánvalóan 2017 júliusa óta idővel hozták létre.
Az egyik biztonsági szolgáltató figyelemre méltó említése arról számolt be, hogy az összes vállalatot nagyjából egy időben fertőzték meg. Ez a szállító azt feltételezte, hogy a támadók már az áldozatok egy részének rendszerében lehetnek. Ebben az esetben a támadók nem tudnák közvetlenül elindítani a kártevőt?
Ez a kérdés egy másik lehetőséget is felvet: Lehetséges, hogy minden áldozatnak legalább egy célzott e-mailt küldtek egy olyan csalival, amely a fertőzött médiaoldalak egyikére irányította őket egy víznyelőszerű támadás keretében? Ha már volt egy fertőzött felhasználó, a rosszindulatú szoftver a nulladik páciensről terjedhetett tovább.
Hálózatokon keresztül mozog
A Bad Rabbit bizonyos eszközök segítségével terjed a hálózatokon keresztül, hogy további végpontokra jusson el. Az IBM X-Force szerint a kártevő a Windows SMB funkcióját használja, de ez nem kapcsolódik az EternalBlue exploit által korábban használt módszerhez. Kutatóink azt is látják, hogy a kártevő HTTP OPTIONS kéréseket bocsát ki a 80-as porton a /admin$ számára, ami a WebDAV használatára utal a rendszer részeként.
A Bad Rabbit emellett úgy tűnik, hogy kihasználja a Mimikatz eszközt – amely tesztelési eszközként és nem rosszindulatú célokra készült, de a támadók ennek ellenére gyakran használják – a hálózaton lévő más felhasználók jelszavainak lekérdezésére. A kártevő néhány alapvető, keményen kódolt jelszót is tartalmazott. Furcsa módon állítólag ezek voltak a legnépszerűbb használt jelszavak az 1995-ös “Hackers” című film szerint.”
Fizetési követelés
A Bad Rabbit 0,05 BTC váltságdíjat követel a titkosított fájlokra helyezett zár feloldásáért. E cikk írásának időpontjában 1 BTC körülbelül 5450 dollárt ér, ami azt jelenti, hogy a kezdeti váltságdíjkövetelés nagyjából 273 dollár. A váltságdíjfizetési felszólítás a fertőzött végpont képernyőjén jelenik meg, és arra utasítja a felhasználót, hogy lépjen be egy erre a célra létrehozott webes szolgáltatásba.
A támadó weboldalán – amelyet a Tor-hálózaton tartanak fenn a kommunikáció anonimizálása érdekében – az áldozatot figyelmeztetik, hogy csak körülbelül 41 órája van a fizetésre. Ezután az áldozatnak egy visszaszámláló órát mutatnak, amely egy “jelszót” – a fájlok feloldásához szükséges dekódoló kulcsot – vár. A közlemény megjelenésekor még nem erősítették meg, hogy a támadók valóban képesek a fájlok visszafejtésére.
Egy folyamatban lévő helyzet
A Bad Rabbit-támadások fejlődnek, ahogy a biztonsági szállítók egyre több információt adnak ki, a szervezetek pedig egyre többet tudnak meg és fékezik a támadásokat. Ha Ön IBM-ügyfél, kérjük, keresse fel az X-Force Exchange oldalát, ahol külön oldalt talál a Bad Rabbit-támadásokra az IBM biztonsági termékeivel való reagálásról. Ha technikai frissítéseket szeretne közvetlenül az IBM Security X-Force Research-től, kérjük, lépjen be az X-Force Exchange gyűjteményünkbe, ahol kutatási és incidenskezelési csapataink a helyzet alakulásának megfelelően tájékoztatni fognak.
Minden szervezetnek nyomatékosan javasoljuk, hogy tájékoztassa az alkalmazottait a járvány kitöréséről, magyarázza el a fertőzés lefolyását, és maradjon rendkívül éber a Bad Rabbit-támadással kapcsolatban az elkövetkező órákban és napokban.
A Bad Rabbit e közlemény megjelenésének időpontjáig nem érintett vállalatokat az Egyesült Államokban, bár az egyik vírusirtó gyártó jelezte, hogy telemetriája néhány fertőzést mutat az Egyesült Államokban.
Az Egyesült Államokon kívül, a szervezeteket arra ösztönzik, hogy tájékoztassák a közösségi vészhelyzeti válaszcsoportjukat (CERT) és az elektronikus bűnözés elleni rendőrséget a Bad Rabbit-kampányhoz kapcsolódó fertőzésekről.
Ha úgy véli, hogy a vállalatát érintette a fertőzés, és segítségre van szüksége, kérjük, hívja az IBM X-Force 24×7 Incident Response Hotline-t:
IRIS EMEA 24×7 Hotline
UAE: (+971) 800 044 424 17
IRIS North America 24×7 Hotline
USA: (+1) 888 241 9812
Dánia: (+358) 9725 22099
Lettország: (+371) 6616 3849
Norvégia: (+47) 2302 4798
Szaúd-Arábia: (+46) 8502 52313
UK: (+44) 20 3684 4872
Ne fizessenek a zsarolóvírus-támadók
Az IBM felmérése szerint a korábban zsarolóvírus által megtámadott vállalkozások 70 százaléka jelezte, hogy fizettek váltságdíjat a vállalati adatok helyreállításáért. Ebből az arányból 50 százalék több mint 10 000 dollárt, 20 százalék pedig több mint 40 000 dollárt fizetett. Fontos megjegyezni, hogy a támadók kifizetése nem garantálja a hozzáférés visszaszerzését.
A Bad Rabbit által érintett szervezeteknek és magánszemélyeknek azt tanácsoljuk, hogy ne fizessenek a támadóknak. Az írás időpontjában a vírusirtók olyan aláírásokat és néhány dekódolási lehetőséget adtak ki, amelyek segíthetnek a titkosított fájlok feloldásában.
A támadás célja valószínűleg nem az anyagi haszonszerzés, hanem a zavarás volt. A következő órákban további tanácsokat teszünk közzé a megfékezéssel és az IBM terméklefedettségével kapcsolatban.
A zsarolóvírus elleni védelemmel kapcsolatos általános tanácsokért tekintse meg Ransomware Response Guide című útmutatónkat.