Atacurile de ransomware Bad Rabbit evidențiază riscul de propagare a epidemiilor de malware

Written by on in Articles

În dimineața zilei de marți, 24 octombrie 2017, organizațiile din Rusia și Ucraina au raportat că au fost afectate de o epidemie de ransomware care le-a paralizat operațiunile. Cazuri sporadice au fost înregistrate, de asemenea, în Turcia, Germania, Bulgaria și Japonia, potrivit rapoartelor din diferite surse.

Malware-ul, autointitulat Bad Rabbit, este un cod ransomware conceput pentru a cripta și bloca fișiere pe puncte finale, apoi a solicita plata pentru eliberarea acestora. Bad Rabbit este, de asemenea, numele unui site Dark Web unde victimele sunt îndemnate să plătească pentru ca fișierele lor să fie deblocate.

La momentul redactării acestui articol, se înțelege că Bad Rabbit a lovit mai ales organizații din Rusia. Mai exact, acesta izbucnește la punctele de difuzare a presei din țară. În declarațiile transmise de unele dintre entitățile afectate, s-a raportat că serverele au fost indisponibile din cauza atacului în curs de desfășurare.

În Ucraina, atacul a lovit organizații de infrastructură critică din sectorul transporturilor. Una dintre victime este aeroportul din Odessa, situat în cel de-al treilea oraș ca mărime din țară, provocând întârzieri ale zborurilor din cauza procesării manuale a datelor pasagerilor. Ucraina și-a văzut, de asemenea, sistemul de metrou afectat, provocând întârzieri de plată la terminalele de servicii pentru clienți, deși trenurile au continuat să circule normal.

Bad Rabbit este al treilea focar de ransomware perturbator din acest an, după viermii WannaCry și NotPetya, care au afectat numeroase organizații în al doilea trimestru din 2017. Acestea fiind spuse, tehnica de propagare a lui Bad Rabbit nu se bazează pe aceleași exploatări, ceea ce îl poate face mai ușor de stăpânit în general.

Download the Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES

Propagarea lui Bad Rabbit

Pe baza informațiilor disponibile în prezent, spre deosebire de majoritatea ransomware-urilor cu motivație financiară, Bad Rabbit nu se răspândește prin e-mail. Potrivit IBM X-Force, care analizează miliarde de mesaje spam și malspam, Bad Rabbit nu a fost trimis în cadrul unei campanii de e-mail. Unele voci din comunitatea de securitate socotesc că focarul este un atac țintit care ar fi putut fi pregătit de luni de zile, dar acest lucru nu a fost încă confirmat.

Pentru a ajunge la punctele finale ale utilizatorilor, operatorii Bad Rabbit au compromis site-uri de știri și media pentru ca vizitatorii să fie redirecționați către pagini de destinație malițioase pe care le controlează. Pe aceste pagini, utilizatorii au fost sfătuiți să instaleze o actualizare Adobe Flash, moment în care a avut loc o descărcare malițioasă, livrând dropperul malware în ceea ce se numește un atac drive-by – care nu solicită nicio acțiune pentru a lansa un fișier în endpoint.

Cei care au mers mai departe și au executat fișierul au dezlănțuit, fără să știe, malware-ul în endpoint-urile lor și și-au văzut fișierele criptate. Nota operatorilor de malware cere o răscumpărare de 0,05 BTC pentru a debloca fișierele.

Potrivit informațiilor din comunitatea de securitate, site-urile web folosite pentru a propaga malware-ul au fost găzduite pe aceleași servere care au fost folosite pentru distribuirea malware-ului NotPetya în iunie 2017. Se pare că acea rețea de site-uri web prestabilite a fost creată în timp, începând cu iulie 2017.

O mențiune notabilă făcută de un furnizor de securitate a raportat că toate companiile au fost infectate cam în același timp. Acel furnizor a speculat că atacatorii ar putea fi deja în sistemele unora dintre victime. În acest caz, atacatorii nu ar putea lansa malware-ul direct?

Această întrebare ridică o altă opțiune: Este posibil ca cel puțin un e-mail țintit să fi fost trimis fiecărei victime cu o momeală pentru a le atrage către unul dintre site-urile media infectate, într-un atac de tip watering hole? Odată ce a existat un utilizator infectat, malware-ul ar fi putut să se propage mai departe de la pacientul zero.

Mutarea prin rețele

Bad Rabbit se răspândește prin rețele folosind anumite instrumente pentru a-l ajuta să ajungă la puncte finale suplimentare. Potrivit IBM X-Force, malware-ul folosește o funcție SMB din Windows, dar nu are legătură cu metoda folosită anterior de exploit-ul EternalBlue. Cercetătorii noștri observă, de asemenea, că malware-ul emite cereri HTTP OPTIONS pe portul 80 pentru /admin$, ceea ce sugerează utilizarea WebDAV ca parte a schemei.

Mai mult, Bad Rabbit pare să profite de instrumentul Mimikatz – care a fost construit ca instrument de testare și nu în scopuri malițioase, dar care, cu toate acestea, este adesea utilizat de atacatori – pentru a prelua parolele altor utilizatori din rețea. Programul malware avea, de asemenea, câteva parole de bază codificate. În mod ciudat, se presupune că acestea erau cele mai populare parole folosite, conform filmului „Hackers” din 1995.”

Cerere de plată

Bad Rabbit cere 0,05 BTC drept răscumpărare pentru a elibera lacătul pus pe fișierele criptate. La momentul redactării acestui articol, 1 BTC valorează aproximativ 5.450 de dolari, ceea ce înseamnă că cererea inițială de răscumpărare ar fi de aproximativ 273 de dolari. Nota de răscumpărare apare pe ecranul punctului terminal infectat, îndrumând utilizatorul să acceseze un serviciu web dedicat.

După ce ajunge pe site-ul web al atacatorului, care este găzduit în rețeaua Tor pentru a păstra anonimatul comunicării, victima este avertizată că are la dispoziție doar aproximativ 41 de ore pentru a plăti. Victimei i se arată apoi un ceas cu numărătoare inversă care așteaptă o „parolă” – cheia de decriptare pentru a-și debloca fișierele. La momentul acestui anunț, nu a fost confirmat faptul că atacatorii pot într-adevăr decripta fișierele.

O situație în curs de desfășurare

Atacurile Bad Rabbit se dezvoltă pe măsură ce furnizorii de securitate publică mai multe informații și organizațiile învață mai multe și conțin atacurile. Dacă sunteți un client IBM, vă rugăm să navigați pe X-Force Exchange pentru o pagină dedicată pentru a răspunde atacurilor Bad Rabbit cu produsele de securitate IBM. Pentru actualizări tehnice direct de la IBM Security’s X-Force Research, vă rugăm să accesați colecția noastră X-Force Exchange, unde echipele noastre de cercetare și de răspuns la incidente vor furniza informații pe măsură ce această situație evoluează.

Toate organizațiile sunt sfătuite să informeze angajații despre focar, să explice fluxul de infectare și să rămână extrem de vigilente cu privire la Bad Rabbit în următoarele ore și zile.

Bad Rabbit nu a afectat companii din S.U.A. până la momentul acestui comunicat, deși un furnizor de antivirus a indicat că telemetria sa arată unele infecții în S.U.A. Având în vedere acest lucru, dacă apare vreun semn de infecție, informați Internet Crime Complaint Center (IC3) al FBI în momentul în care îl descoperiți.

În afara S.U.A., organizațiile sunt încurajate să informeze echipa lor de răspuns la urgențe comunitare (CERT) și poliția de combatere a criminalității electronice cu privire la orice infecții legate de campania Bad Rabbit.

Dacă credeți că firma dvs. a fost afectată și aveți nevoie de asistență, vă rugăm să apelați linia telefonică de răspuns la incidente IBM X-Force 24×7:

IRIS EMEA 24×7 Hotline

UAE: (+971) 800 044 424 424 17

IRIS North America 24×7 Hotline

USA: (+1) 888 241 9812

Danemarca: (+45) 4331 4987

Finlanda: (+358) 9725 22099

Letonia: (+371) 6616 3849

Norvegia: (+47) 2302 4798

Arabia Saudită: (+966) 800 844 3872

Arabia Saudită: (+966) 800 850 0399

Suedia: (+46) 8502 52313

MAREA BRITANIE: (+44) 20 3684 4872

Don’t Pay Ransomware Attackers

Potrivit unui sondaj IBM, 70 la sută dintre companiile afectate anterior de ransomware au indicat că au plătit răscumpărarea pentru a recupera datele companiei. Din această parte, 50 la sută au plătit peste 10.000 de dolari, iar 20 la sută au plătit peste 40.000 de dolari. Este important de reținut că plata atacatorilor nu garantează redobândirea accesului.

Organizațiile și persoanele afectate de Bad Rabbit sunt sfătuite să nu plătească atacatorii. La momentul redactării acestui articol, furnizorii de antivirus au lansat semnături și unele opțiuni de decriptare care pot ajuta la deblocarea fișierelor criptate.

Atacurile au fost cel mai probabil concepute mai degrabă pentru întrerupere decât pentru câștiguri financiare. Mai multe sfaturi privind izolarea și acoperirea produselor IBM vor fi disponibile în orele următoare.

Pentru sfaturi generale privind menținerea sistemelor dvs. în siguranță împotriva ransomware-ului, vă rugăm să consultați Ghidul nostru de răspuns la ransomware.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.