Bad Rabbit Ransomware Attacks Highlight Risk of Propagating Malware Outbreaks

Geschreven door op in Articles

Op dinsdagochtend, 24 okt. 2017, meldden organisaties in Rusland en Oekraïne te zijn getroffen door een ransomware-uitbraak die hun activiteiten verlamde. Sporadische gevallen werden ook geregistreerd in Turkije, Duitsland, Bulgarije en Japan, volgens rapporten van verschillende bronnen.

De malware, zelfgetiteld Bad Rabbit, is een ransomware-code die is ontworpen om bestanden op eindpunten te versleutelen en te vergrendelen, en vervolgens betaling te eisen voor hun vrijgave. Bad Rabbit is ook de naam van een Dark Web site waar slachtoffers ertoe worden aangezet te betalen om hun bestanden te laten ontgrendelen.

Op het moment van dit schrijven is bekend dat Bad Rabbit vooral organisaties in Rusland heeft getroffen. Meer specifiek, het breekt uit op media outlets in het land. In verklaringen van sommige van de getroffen entiteiten werd gemeld dat servers down waren als gevolg van de aanhoudende aanval.

In Oekraïne trof de aanval kritieke infrastructuurorganisaties in de transportsector. Een van de slachtoffers is de luchthaven van Odessa, die zich in de op twee na grootste stad van het land bevindt, waardoor vluchten vertraging opliepen door de handmatige verwerking van passagiersgegevens. Oekraïne zag ook zijn metrosysteem getroffen, wat betalingsvertragingen veroorzaakte op klantenserviceterminals, hoewel de treinen normaal bleven rijden.

Bad Rabbit is de derde ontwrichtende ransomware-uitbraak dit jaar, na de WannaCry- en NotPetya-wormen die tal van organisaties in het tweede kwartaal van 2017 troffen. Dat gezegd hebbende, is de verspreidingstechniek van Bad Rabbit niet gebaseerd op dezelfde exploits, waardoor het mogelijk gemakkelijker is om het in het algemeen te beheersen.

Download de Ransomware Response Guide van IBM INCIDENT RESPONSE SERVICES

De verspreiding van Bad Rabbit

Gebaseerd op de huidige beschikbare informatie, in tegenstelling tot de meeste financieel gemotiveerde ransomware, verspreidt Bad Rabbit zich niet via e-mail. Volgens IBM X-Force, die miljarden spam en malspam berichten analyseert, is Bad Rabbit niet in een e-mail campagne verstuurd. Volgens sommigen in de beveiligingsgemeenschap is de uitbraak een gerichte aanval die mogelijk al maanden in de maak is, maar dat moet nog worden bevestigd.

Om de eindpunten van gebruikers te bereiken, hebben de beheerders van Bad Rabbit nieuws- en mediasites gecompromitteerd om bezoekers om te leiden naar kwaadaardige landingspagina’s die zij beheren. Op die pagina’s werden gebruikers geadviseerd om een Adobe Flash-update te installeren, op welk punt een kwaadaardige download plaatsvond, die de malware dropper afleverde in wat een drive-by-aanval wordt genoemd – zonder enige actie te vragen om een bestand op het eindpunt te droppen.

Diegenen die doorgingen en het bestand uitvoerden, ontketenden onbewust de malware op hun eindpunten en zagen hun bestanden versleuteld. Het briefje van de malware-exploitanten eist 0,05 BTC aan losgeld om de bestanden te ontgrendelen.

Volgens informatie van de beveiligingsgemeenschap werden websites die werden gebruikt om de malware te verspreiden gehost op dezelfde servers die in juni 2017 werden gebruikt voor het verspreiden van de NotPetya-malware. Dat netwerk van vooraf bepaalde websites werd blijkbaar in de loop van de tijd opgezet sinds juli 2017.

Een opmerkelijke vermelding door één beveiligingsleverancier meldde dat alle bedrijven rond dezelfde tijd werden geïnfecteerd. Die leverancier speculeerde dat aanvallers zich mogelijk al in sommige systemen van de slachtoffers bevonden. In dat geval zouden de aanvallers de malware niet direct kunnen lanceren?

Deze vraag roept nog een andere mogelijkheid op: Is het mogelijk dat ten minste één gerichte e-mail naar elk slachtoffer werd gestuurd met een lokmiddel om hen naar een van de geïnfecteerde mediasites te lokken in een watering hole-achtige aanval? Zodra er één geïnfecteerde gebruiker was, zou de malware zich vanaf patiënt nul verder kunnen hebben verspreid.

Verplaatsing door netwerken

Bad Rabbit verspreidt zich over netwerken met behulp van enkele hulpmiddelen om het naar extra eindpunten te helpen. Volgens IBM X-Force maakt de malware gebruik van een Windows SMB-functie, maar is deze niet gerelateerd aan de methode die eerder werd gebruikt door de EternalBlue exploit. Onze onderzoekers zien ook dat de malware HTTP OPTIONS verzoeken doet op poort 80 voor /admin$, wat suggereert dat WebDAV wordt gebruikt als onderdeel van het schema.

Daarnaast lijkt Bad Rabbit gebruik te maken van de Mimikatz tool – die is gebouwd als test tool en niet voor kwaadaardige doeleinden, maar desondanks vaak wordt gebruikt door aanvallers – om de wachtwoorden van andere gebruikers op het netwerk te achterhalen. De malware had ook een aantal hard gecodeerde wachtwoorden. Vreemd genoeg zouden dat de meest gebruikte wachtwoorden zijn, volgens de film “Hackers” uit 1995.”

Betalingsverzoek

Bad Rabbit eist 0,05 BTC aan losgeld om het slot op versleutelde bestanden vrij te geven. Op het moment van schrijven staat 1 BTC voor ongeveer $5.450, wat betekent dat de initiële losgeld eis ruwweg $273 zou zijn. De losgeld nota verschijnt op het scherm van het geïnfecteerde eindpunt, en stuurt de gebruiker naar een speciale web service.

Eenmaal op de website van de aanvaller, die gehost wordt op het Tor netwerk om de communicatie anoniem te houden, wordt het slachtoffer gewaarschuwd dat hij of zij slechts ongeveer 41 uur heeft om te betalen. Het slachtoffer krijgt dan een aftellende klok te zien die wacht op een “wachtwoord” – de ontsleutelingssleutel om zijn of haar bestanden te ontgrendelen. Op het moment van dit bericht is nog niet bevestigd dat de aanvallers de bestanden inderdaad kunnen ontsleutelen.

Een voortdurende situatie

De Bad Rabbit-aanvallen ontwikkelen zich naarmate beveiligingsleveranciers meer informatie vrijgeven en organisaties meer te weten komen en de aanvallen indammen. Als u IBM-klant bent, kunt u naar X-Force Exchange gaan voor een speciale pagina over het reageren op de Bad Rabbit-aanvallen met IBM Security-producten. Voor technische updates rechtstreeks van IBM Security’s X-Force Research, gaat u naar onze X-Force Exchange-collectie, waar onze onderzoeks- en incidentresponsteams informatie zullen verstrekken naarmate deze situatie zich ontvouwt.

Alle organisaties worden sterk geadviseerd om medewerkers te informeren over de uitbraak, de infectiestroom uit te leggen en de komende uren en dagen uiterst waakzaam te blijven voor Bad Rabbit.

Bad Rabbit heeft op het moment van deze bekendmaking nog geen bedrijven in de VS getroffen, hoewel een antivirusleverancier heeft aangegeven dat zijn telemetrie enkele infecties in de VS laat zien, worden organisaties aangemoedigd hun Community Emergency Response Team (CERT) en de e-crime politie te informeren over infecties die verband houden met de Bad Rabbit-campagne.

Als u denkt dat uw bedrijf is getroffen en u hulp nodig hebt, belt u uw IBM X-Force 24×7 Incident Response Hotline:

IRIS EMEA 24×7 Hotline

UAE: (+971) 800 044 424 17

IRIS Noord-Amerika 24×7 Hotline

USA: (+1) 888 241 9812

Denemarken: (+45) 4331 4987

Finland: (+358) 9725 22099

Letland: (+371) 6616 3849

Noorwegen: (+47) 2302 4798

Saudi-Arabië: (+966) 800 844 3872

Saudi-Arabië: (+966) 800 850 0399

Zweden: (+46) 8502 52313

VERENIGD KONINKRIJK: (+44) 20 3684 4872

Don’t Pay Ransomware Attackers

Volgens een IBM-onderzoek heeft 70 procent van de bedrijven die eerder door ransomware zijn getroffen, aangegeven dat ze het losgeld hebben betaald om bedrijfsgegevens te herstellen. Van dat deel betaalde 50 procent meer dan $10.000, en 20 procent betaalde meer dan $40.000. Het is belangrijk op te merken dat het betalen van aanvallers geen garantie biedt voor het terugkrijgen van toegang.

Organisaties en individuen die zijn getroffen door Bad Rabbit wordt afgeraden om de aanvallers te betalen. Op het moment van dit schrijven hebben antivirusleveranciers handtekeningen en enkele decryptieopties vrijgegeven die kunnen helpen bij het ontgrendelen van gecodeerde bestanden.

De aanval was hoogstwaarschijnlijk ontworpen voor verstoring in plaats van financieel gewin. Meer advies over indamming en IBM-productdekking zal in de komende uren beschikbaar worden gesteld.

Voor algemeen advies over het veilig houden van uw systemen tegen ransomware, kunt u onze Ransomware Response Guide bekijken.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.