På tisdagsmorgonen, Oct. 24, 2017, organisationer i Ryssland och Ukraina rapporterade att de drabbats av en Ransomware utbrott som förlamade deras verksamhet. Sporadiska fall registrerades också i Turkiet, Tyskland, Bulgarien och Japan, enligt rapporter från olika källor.
Malware, självbetitlad Bad Rabbit, är en ransomware-kod som är utformad för att kryptera och låsa filer på slutpunkter och sedan kräva betalning för att släppa dem. Bad Rabbit är också namnet på en webbplats på Dark Web där offren uppmanas att betala för att få sina filer upplåsta.
I skrivande stund har Bad Rabbit förstås främst drabbat organisationer i Ryssland. Mer specifikt bryter den ut på medier i landet. I uttalanden från några av de drabbade enheterna rapporterades att servrarna låg nere på grund av den pågående attacken.
I Ukraina drabbade attacken kritiska infrastrukturorganisationer inom transportsektorn. Ett av offren är flygplatsen i Odessa, som ligger i landets tredje största stad, vilket orsakade flygförseningar på grund av manuell behandling av passageraruppgifter. Ukraina såg också sitt tunnelbanesystem drabbas, vilket orsakade betalningsförseningar på kundtjänstterminaler, även om tågen fortsatte att gå normalt.
Bad Rabbit är det tredje störande utbrottet av utpressningstrojaner i år, efter maskarna WannaCry och NotPetya som drabbade många organisationer under det andra kvartalet 2017. Med detta sagt är Bad Rabbits spridningsteknik inte baserad på samma exploateringar, vilket kan göra det lättare att begränsa den totalt sett.
Download the Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES
The Propagation of Bad Rabbit
Baserat på för närvarande tillgänglig information, till skillnad från de flesta finansiellt motiverade utpressningstrojaner, sprids Bad Rabbit inte via e-post. Enligt IBM X-Force, som analyserar miljarder spam- och malspammeddelanden, skickades Bad Rabbit inte i en e-postkampanj. Vissa röster inom säkerhetsbranschen menar att utbrottet är en riktad attack som kan ha varit i flera månader, men det har ännu inte bekräftats.
För att nå användarnas slutpunkter har Bad Rabbit-operatörerna äventyrat nyhets- och mediesajter för att få besökarna omdirigerade till skadliga landningssidor som de kontrollerar. På dessa sidor uppmanades användarna att installera en Adobe Flash-uppdatering, varvid en skadlig nedladdning ägde rum och malware-dropparen levererades i vad som kallas en drive-by-attack – utan att begära någon åtgärd för att släppa en fil till slutpunkten.
De som gick vidare och utförde filen släppte omedvetet ut malware på sina slutpunkter och fick se sina filer krypterade. I meddelandet från malwareoperatörerna krävs 0,05 BTC i lösensumma för att låsa upp filerna.
Enligt information från säkerhetsvärlden fanns de webbplatser som användes för att sprida det skadliga programmet på samma servrar som användes för att distribuera det skadliga programmet NotPetya i juni 2017. Det nätverket av förutbestämda webbplatser sattes tydligen upp över tid sedan juli 2017.
Ett anmärkningsvärt omnämnande från en säkerhetsleverantör rapporterade att alla företag smittades ungefär samtidigt. Den leverantören spekulerade i att angriparna kanske redan fanns i några av offrens system. Skulle angriparna i så fall inte kunna lansera skadlig kod direkt?
Denna fråga väcker ett annat alternativ: Är det möjligt att minst ett målinriktat e-postmeddelande skickades till varje offer med ett lockbete för att få dem att gå till en av de infekterade mediesajterna i en attack i stil med en vattenhålsattack? När det väl fanns en infekterad användare kan det skadliga programmet ha spridit sig vidare från patient noll.
Förflyttning genom nätverk
Bad Rabbit sprider sig genom nätverk med hjälp av vissa verktyg som hjälper den att ta sig till ytterligare slutpunkter. Enligt IBM X-Force använder skadlig kod en SMB-funktion i Windows, men den är inte relaterad till den metod som tidigare användes av EternalBlue-exploiten. Våra forskare ser också att skadlig kod utfärdar HTTP OPTIONS-förfrågningar på port 80 för /admin$, vilket tyder på att WebDAV används som en del av systemet.
Det verkar dessutom som om Bad Rabbit utnyttjar verktyget Mimikatz – som byggdes som ett testverktyg och inte för skadliga syften, men som ändå ofta används av angripare – för att hämta lösenordet för andra användare i nätverket. Det skadliga programmet hade också några grundläggande hårdkodade lösenord. Märkligt nog var det förmodligen de mest populära lösenord som användes, enligt filmen ”Hackers” från 1995.”
Betalningskrav
Bad Rabbit kräver 0,05 BTC i lösensumma för att frigöra låset som placerats på de krypterade filerna. I skrivande stund går 1 BTC för cirka 5 450 dollar, vilket innebär att det ursprungliga lösensumman skulle vara cirka 273 dollar. Lösensumman visas på den infekterade ändpunktens skärm och hänvisar användaren till en dedikerad webbtjänst.
När man väl är på angriparens webbplats, som ligger på Tor-nätverket för att hålla kommunikationen anonymiserad, varnas offret för att han eller hon bara har cirka 41 timmar på sig att betala. Offret visas sedan en nedräkningsklocka som väntar på ett ”lösenord” – dekrypteringsnyckeln för att låsa upp hans eller hennes filer. Vid tidpunkten för detta meddelande har det inte bekräftats att angriparna verkligen kan dekryptera filerna.
En pågående situation
Da Bad Rabbit-attackerna utvecklas i takt med att säkerhetsleverantörerna släpper mer information och organisationerna lär sig mer och begränsar attackerna. Om du är IBM-kund kan du gå till X-Force Exchange för att se en särskild sida om hur du kan bemöta Bad Rabbit-attackerna med IBM:s säkerhetsprodukter. För tekniska uppdateringar direkt från IBM Securitys X-Force Research, gå till vår X-Force Exchange-samling, där våra forsknings- och incidenthanteringsteam kommer att tillhandahålla information allteftersom situationen utvecklas.
Alla organisationer rekommenderas starkt att informera sina anställda om utbrottet, förklara infektionsflödet och förbli extremt vaksamma när det gäller Bad Rabbit under de kommande timmarna och dagarna.
Bad Rabbit har inte påverkat företag i USA vid tidpunkten för detta meddelande, även om en antivirusleverantör har uppgett att dess telemetri visar på vissa infektioner i USA. Om något tecken på infektion uppstår, informera FBI:s Internet Crime Complaint Center (IC3) när du upptäcker det.
Utefter USA, uppmuntras organisationer att informera sin Community Emergency Response Team (CERT) och e-crime-polisen om alla infektioner som är kopplade till Bad Rabbit-kampanjen.
Om du tror att ditt företag har drabbats och behöver hjälp, vänligen ring din IBM X-Force 24×7 Incident Response Hotline:
IRIS EMEA 24×7 Hotline
UAE: (+971) 800 044 424 17
IRIS North America 24×7 Hotline
USA: (+1) 888 241 9812
Denmark: (+45) 4331 4987
Finland: (+358) 9725 22099
Lettland: (+371) 6616 3849
Norge: (+47) 2302 4798
Saudiarabien: (+966) 800 844 3872
Saudiarabien: (+966) 800 844 3872
Saudiarabien: (+966) 800 850 0399
Sverige: (+46) 8502 52313
SVERIGE: (+46) 8502 52313
UK: (+44) 20 3684 4872
Betala inte Ransomware-attackerare
Enligt en IBM-undersökning har 70 procent av de företag som tidigare drabbats av ransomware angett att de har betalat lösensumman för att återskapa företagsdata. Av den delen betalade 50 procent över 10 000 dollar och 20 procent över 40 000 dollar. Det är viktigt att notera att det inte är en garanti för att återfå tillgång att betala angriparna.
Organisationer och individer som drabbats av Bad Rabbit avråds från att betala angriparna. När detta skrivs har antivirusleverantörer släppt signaturer och vissa dekrypteringsalternativ som kan hjälpa till att låsa upp krypterade filer.
Angreppet var troligen utformat för att störa snarare än för ekonomisk vinning. Fler råd om begränsning och IBM:s produkttäckning kommer att göras tillgängliga under de kommande timmarna.
För allmänna råd om hur du skyddar dina system från utpressningstrojaner kan du läsa vår Ransomware Response Guide.