Podobnosti s BadRabbit a NotPetya navrhují stejného tvůrce

Anonim
Výkupné od BadRabbit.

Úterní útok na ransomware může jít pod názvem BadRabbit, ale ve skutečnosti sdílí nějaký počítačový kód s ohniskem NotPetya z června.

Bezpečnostní vědci si všimli podobností, které naznačují, že oba útoky mohou mít stejného tvůrce.

„Vypadá to, že se autoři pokusili vylepšit předchozí chyby (s NotPetya) a dokončit nedokončené podnikání, “ napsal v blogovém příspěvku bezpečnostní firma Malwarebytes.

V úterý BadRabbit udeřil hlavně do počítačů v Rusku a zasáhl několik mediálních výstupů, včetně Interfaxu, které způsobily selhání jeho serverů. Podle ruské centrální banky se útok zaměřil také na některé finanční instituce v zemi.

Ransomware se šířil falešnou aktualizací programu Adobe Flash Player na více než 20 hackovaných webech. Po instalaci zašifroval soubory počítače a vyžadoval výplatu 280 $ v bitcoinech k uvolnění systému.

Naštěstí se nové útoky zastavily. „Jakmile se infekce rozšířila a bezpečnostní společnosti začaly vyšetřovat, útočníci okamžitě odstranili škodlivý kód, který přidali na napadené webové stránky, “ tvrdí bezpečnostní firma Kaspersky Lab.

Společnost si také všimla podobností kódu u BadRabbit a NotPetya a uvedla, že oba útoky sdílejí další důležitý kus překrývání: oba byly doručeny některými stejnými hacknutými doménami webových stránek.

Vypadá to, že útočníci za #Badrabbit byli zaneprázdněni nastavením své sítě infekce na hackerských webech od července 2017. pic.twitter.com/fV5U1FeVtR

- Costin Raiu (@Craiu) 24. října 2017

Mezi ně patří Bahmut.com.ua, ukrajinský mediální server, který byl unesen, aby vydal NotPetya zpět v červnu, a zjistil, že se šíří BadRabbit v úterý, podle tweety od výzkumníka společnosti Kaspersky Lab Costina Raiu.

Bezpečnostní společnost Intezer také provedla analýzu úterního útoku. Zjistilo se, že část počítačového kódu v BadRabbit byla vidět pouze ve vzorcích malwaru od NotPetya.

Podle Jaye Rosenberga, výzkumníka bezpečnosti Intezer, je to vzácné. Zdrojový kód pro NotPetya není open-source, takže by to trvalo hodně času a úsilí, aby ho někdo replikoval, řekl.

"Programátoři často opakovaně používají kód, protože je časově a nákladově efektivní, " dodala Rosenberg.

Oba útoky však mají také významné rozdíly.

V červnu, kdy se poprvé objevilo ohnisko NotPetya, vědci zjistili, že infikoval počítače a požadoval výkupné ve výši 300 $ v bitcoinech. Ve skutečnosti však šifrovací proces NotPetya skutečně poškodil soubory v systému, čímž zabránil jejich zotavení.

Na druhé straně BadRabbit úspěšně šifruje soubory počítače. To znamená, že oběti ochotné zaplatit výkupné by měly mít možnost získat svá data zpět - za předpokladu, že hacker pošle dešifrovací klíč.

Dalším zvláštním rozdílem mezi těmito dvěma útoky byly jejich zřejmé cíle. NotPetya zasáhla hlavně Ukrajinu, ale nakonec se rozšířila do 64 dalších zemí včetně USA

BadRabbit byl však v měřítku mnohem menší a do velké míry zasáhl Rusko.

Bezpečnostní vědci se stále pokoušejí analyzovat úterní útok na další stopy. Ale určení skutečného viníka za útokem BadRabbit pravděpodobně nebude snadné.