We wtorek rano, 24 października 2017 r., organizacje w Rosji i na Ukrainie zgłosiły, że zostały dotknięte epidemią ransomware, która sparaliżowała ich operacje. Sporadyczne przypadki odnotowano również w Turcji, Niemczech, Bułgarii i Japonii, według raportów z różnych źródeł.
Złośliwe oprogramowanie, noszące własny tytuł Bad Rabbit, to kod ransomware zaprojektowany do szyfrowania i blokowania plików na punktach końcowych, a następnie żądania zapłaty za ich uwolnienie. Bad Rabbit to również nazwa strony Dark Web, na której ofiary są nakłaniane do płacenia za odblokowanie plików.
W czasie pisania tego tekstu, Bad Rabbit jest rozumiany jako najczęściej atakujący organizacje w Rosji. Dokładniej, to jest łamanie na media w kraju. W oświadczeniach wydanych przez niektóre z dotkniętych podmiotów poinformowano, że serwery zostały wyłączone z powodu trwającego ataku.
Na Ukrainie atak uderzył w organizacje infrastruktury krytycznej w sektorze transportu. Jedną z ofiar jest lotnisko w Odessie, które znajduje się w trzecim co do wielkości mieście w kraju, co spowodowało opóźnienia lotów z powodu ręcznego przetwarzania danych pasażerów. Ukraina odnotowała również wpływ na swój system metra, powodując opóźnienia w płatnościach na terminalach obsługi klienta, chociaż pociągi nadal kursowały normalnie.
Bad Rabbit jest trzecią destrukcyjną epidemią ransomware w tym roku, po robakach WannaCry i NotPetya, które dotknęły liczne organizacje w drugim kwartale 2017 roku. Technika rozprzestrzeniania się Bad Rabbit nie jest oparta na tych samych exploitach, co może ułatwić jego ogólne opanowanie.
Download the Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES
The Propagation of Bad Rabbit
Based on currently available information, unlike most financially motivated ransomware, Bad Rabbit does not spread via email. Według IBM X-Force, który analizuje miliardy wiadomości spamowych i malspamowych, Bad Rabbit nie został wysłany w kampanii e-mailowej. Niektóre głosy w społeczności bezpieczeństwa uważają, że epidemia jest atakiem ukierunkowanym, który mógł być przygotowywany od miesięcy, ale nie zostało to jeszcze potwierdzone.
Aby dotrzeć do punktów końcowych użytkowników, operatorzy Bad Rabbit skompromitowali strony informacyjne i medialne, aby przekierować odwiedzających na złośliwe strony docelowe, które kontrolują. Na tych stronach użytkownicy byli informowani o konieczności zainstalowania aktualizacji Adobe Flash, w którym to momencie miało miejsce złośliwe pobranie, dostarczające złośliwe oprogramowanie dropper w tak zwanym ataku drive-by – nie wymagającym żadnych działań w celu umieszczenia pliku w punkcie końcowym.
Tacy, którzy poszli dalej i wykonali plik, nieświadomie uwolnili złośliwe oprogramowanie na swoich punktach końcowych i zobaczyli, że ich pliki zostały zaszyfrowane. Notatka operatorów złośliwego oprogramowania żąda 0,05 BTC okupu za odblokowanie plików.
Zgodnie z informacjami od społeczności bezpieczeństwa, strony internetowe wykorzystywane do rozprzestrzeniania złośliwego oprogramowania były hostowane na tych samych serwerach, które były wykorzystywane do dystrybucji złośliwego oprogramowania NotPetya w czerwcu 2017 roku. Ta sieć z góry ustalonych stron internetowych była najwyraźniej tworzona w czasie od lipca 2017 r.
Warta uwagi wzmianka jednego z dostawców zabezpieczeń informowała, że wszystkie firmy zostały zainfekowane mniej więcej w tym samym czasie. Sprzedawca ten spekulował, że napastnicy mogli już znajdować się w systemach niektórych ofiar. W takim przypadku, czy atakujący nie mogliby bezpośrednio uruchomić złośliwego oprogramowania?
To pytanie rodzi kolejną opcję: Czy możliwe jest, że do każdej ofiary wysłano co najmniej jeden ukierunkowany e-mail z przynętą, która miała skłonić ją do wejścia na jedną z zainfekowanych stron medialnych w ramach ataku w stylu „watering hole”? Gdy był już jeden zainfekowany użytkownik, złośliwe oprogramowanie mogło rozprzestrzeniać się dalej od pacjenta zero.
Przemieszczanie się przez sieci
Zły Królik rozprzestrzenia się w sieciach przy użyciu pewnych narzędzi, które pomagają mu dotrzeć do dodatkowych punktów końcowych. Według IBM X-Force, złośliwe oprogramowanie wykorzystuje funkcję SMB systemu Windows, jednak nie jest ona powiązana z metodą wykorzystywaną wcześniej przez exploit EternalBlue. Nasi badacze zaobserwowali również, że złośliwe oprogramowanie wysyła żądania HTTP OPTIONS na porcie 80 dla /admin$, co sugeruje użycie WebDAV jako części schematu działania.
Co więcej, Bad Rabbit wydaje się wykorzystywać narzędzie Mimikatz – które zostało stworzone jako narzędzie testowe, a nie do złośliwych celów, ale mimo to jest często wykorzystywane przez atakujących – do pobierania haseł innych użytkowników w sieci. Złośliwe oprogramowanie posiadało również kilka podstawowych, twardo zakodowanych haseł. Co dziwne, były to podobno najpopularniejsze hasła używane w filmie „Hakerzy” z 1995 roku.”
Żądanie okupu
Bad Rabbit żąda 0,05 BTC okupu w celu zwolnienia blokady nałożonej na zaszyfrowane pliki. W momencie pisania tego tekstu 1 BTC kosztuje około 5 450 dolarów, co oznacza, że początkowe żądanie okupu wynosiłoby około 273 dolarów. Nota z żądaniem okupu pojawia się na ekranie zainfekowanego punktu końcowego, kierując użytkownika do specjalnego serwisu internetowego.
Po wejściu na stronę atakującego, która jest umieszczona w sieci Tor w celu zachowania anonimowości komunikacji, ofiara jest ostrzegana, że ma tylko około 41 godzin na zapłacenie. Ofiara jest następnie wyświetlany zegar odliczający czas, który oczekuje na „hasło” – klucz deszyfrujący, aby odblokować swoje pliki. W momencie publikacji tego komunikatu nie potwierdzono, że atakujący rzeczywiście mogą odszyfrować pliki.
Trwająca sytuacja
Ataki Bad Rabbit rozwijają się w miarę jak dostawcy zabezpieczeń udostępniają więcej informacji, a organizacje dowiadują się więcej i powstrzymują ataki. Jeśli jesteś klientem IBM, przejdź do X-Force Exchange, aby uzyskać specjalną stronę dotyczącą reagowania na ataki Bad Rabbit za pomocą produktów IBM Security. Aby uzyskać aktualizacje techniczne bezpośrednio z X-Force Research IBM Security, prosimy o dostęp do kolekcji X-Force Exchange, gdzie nasze zespoły badawcze i reagowania na incydenty będą dostarczać informacje w miarę rozwoju sytuacji.
Wszystkim organizacjom zdecydowanie zaleca się poinformowanie pracowników o wybuchu epidemii, wyjaśnienie przepływu infekcji i zachowanie szczególnej czujności wobec Bad Rabbit w nadchodzących godzinach i dniach.
Bad Rabbit nie dotknął firm w Stanach Zjednoczonych w momencie wydania tego komunikatu, chociaż jeden z producentów antywirusów wskazał, że jego telemetria pokazuje pewne infekcje w Stanach Zjednoczonych, organizacje są zachęcane do informowania swoich zespołów reagowania kryzysowego (CERT) i policji zajmującej się zwalczaniem przestępczości elektronicznej o wszelkich infekcjach związanych z kampanią Bad Rabbit.
Jeśli uważasz, że Twoja firma została dotknięta problemem i potrzebujesz pomocy, zadzwoń pod numer infolinii IBM X-Force 24×7 Incident Response Hotline:
IRIS EMEA 24×7 Hotline
UAE: (+971) 800 044 424 17
IRIS North America 24×7 Hotline
USA: (+1) 888 241 9812
Dania: (+45) 4331 4987
Finlandia: (+358) 9725 22099
Łotwa: (+371) 6616 3849
Norwegia: (+47) 2302 4798
Arabia Saudyjska: (+966) 800 844 3872
Arabia Saudyjska: (+966) 800 850 0399
Szwecja: (+46) 8502 52313
UK: (+44) 20 3684 4872
Nie płać atakującym ransomware
Według badania przeprowadzonego przez IBM 70 procent firm, które wcześniej ucierpiały z powodu ransomware, wskazało, że zapłaciło okup w celu odzyskania danych firmowych. Z tej części, 50 procent zapłaciło ponad 10 000 dolarów, a 20 procent ponad 40 000 dolarów. Ważne jest, aby pamiętać, że płacenie atakującym nie gwarantuje odzyskania dostępu.
Organizacjom i osobom dotkniętym przez Bad Rabbit odradza się płacenie atakującym. W momencie pisania tego tekstu producenci oprogramowania antywirusowego udostępnili sygnatury i niektóre opcje deszyfrowania, które mogą pomóc w odblokowaniu zaszyfrowanych plików.
Atak został najprawdopodobniej przeprowadzony w celu wywołania zakłóceń, a nie uzyskania korzyści finansowych. W najbliższych godzinach udostępnimy więcej informacji na temat ograniczania skutków ataku oraz zasięgu produktów IBM.
W celu uzyskania ogólnych porad dotyczących ochrony systemów przed oprogramowaniem ransomware prosimy o zapoznanie się z naszym przewodnikiem Ransomware Response Guide.
.