'BadRabbit' Ransomware zaměřuje systémy v Rusku, na Ukrajině

Anonim
Zpráva ransomware z útoku BadRabbit.

Podle výzkumníků v oblasti bezpečnosti se šíří hlavní útok na ransomware napříč počítači v Rusku a na Ukrajině, která má zatím cílená média a přepravní systémy.

Útok začal v úterý a napadl počítače v ruské tiskové agentuře Interfax, spolu se čtyřmi dalšími médii, podle bezpečnostní firmy Group-IB.

#BadRabbit #cryptor zaútočil na řadu hlavních ruských médií. @interfax_news pic.twitter.com/5iLNs131Ml

- Group-IB (@Goupoup_GIB) 24. října 2017

Ransomware, nazvaný BadRabbit, šifruje soubory počítače a poté vyžaduje, aby oběť navštívila webovou stránku skryté služby Tor, aby zaplatila výkupné 0, 05 v bitcoinech, tj. 282 $. Pokud není platba provedena do 40 hodin, hrozí zvýšení ceny.

Útok se rychle pohyboval. "Před několika hodinami byly napadeny tři mediální kanály, pak to byly další dvě, " řekl mluvčí skupiny IB Evgeny Gukov.

Přípony souborů, které #BadRabbit šifruje. #cryptor #ransomware pic.twitter.com/LCHeIueFL7

- Group-IB (@Goupoup_GIB) 24. října 2017

Interfax potvrdil hack a uvedl, že firemní servery selhaly.

Útok také zasáhl Kyjevské metro, podle bezpečnostní firmy ESET, která analyzovala kód a uvedla, že je založen na malwaru Petya, který byl také použit pro globální útok ransomware v červnu. V takovém případě vědci navrhli, aby byl Petya malířský malware, který byl přestrojen za ransomware, a povzbuzoval postižené, aby neplatili.

Tento nový ransomware se šíří po falešné instalaci aplikace Adobe Flash Player, která byla distribuována na 20 různých webů, které byly hacknuty, podle společnosti ESET. Mnoho z těchto webů pochází z ruských zpravodajských středisek, ale některé používají ukrajinskou doménu .ua.

Návštěvníci těchto narušených webových stránek by si všimli vyskakovacího okna s žádostí o stažení falešné aktualizace aplikace Adobe Flash Player. Jakmile se ransomware nainstaluje, prohledá místní síť a hledá nové počítače, které se infikují. Škodlivý kód to dělá pomocí protokolu Microsoft Windows 'Server Message Block, funkce sdílení souborů, kterou nedávno využívaly i jiné útoky ransomware.

Snímek obrazovky falešného instalátoru Adobe Flash.

Kromě toho spustí BadRabbit ransomware Mimikatz, hackerský nástroj, který dokáže podle ESET získávat hesla z ohrožených počítačů.

Bezpečnostní firma Kaspersky Lab zveřejnila podobná zjištění a uvedla, že „počet hackovaných ruských mediálních webů“ distribuoval falešný instalátor Adobe Flash jako způsob, jak přimět oběti k provedení programu.

„Nebyly využity žádné exploity, “ řekl Kaspersky v blogu. To znamená, že ransomware infikuje pouze tehdy, pokud oběť ručně provede falešný Flash instalátor.

Většina útoků zasáhla oběti v Rusku, ale některé infekce se rozšířily také na Ukrajinu, Turecko a Německo, uvedl Kaspersky. Na základě údajů bezpečnostní firmy „celkově existuje téměř 200 cílů“ a útok stále probíhá.

V úterý vydal CERT-UA, ukrajinský tým pro nouzové reakce na počítači, prohlášení o varování před vlnou útoků. Jiné instituce, jako je letiště v Oděse, také hlásí, že došlo k hacknutí, ale v tuto chvíli není jasné, zda útoky souvisejí.

Bezpečnostní firma Avast detekovala útok BadRabbit zaměřený na tyto země.

Kdo by mohl být za úterním ohniskem, zůstává neznámý. Zdá se však, že hacker je fanouškem hry o trůny. Vědci zabývající se bezpečností hledají odkazy na sérii fantasy v kódu ransomware, jako jsou jména tří draků.

Je také možné, že úterní útok mohl být zahájen jinými prostředky. Společnost ESET uvedla, že zatím nenalezl žádný důkaz o tom, že by společnosti zasažené vypuknutím ransomwaru padly na falešnou aktualizaci Adobe Flash.

Příbuzný

  • Nové Mirai-Like Malware Cíle IoT zařízení Nové Mirai-Like Malware Cíle IoT zařízení

To by mohlo znamenat, že záhadný viník za BadRabbitem už mohl být uvnitř sítí společností a napadl je všechny najednou. Falešná aktualizace Adobe Flash byla jednoduše návnadou, uvedla společnost ESET.

Bezpečnostní firmy říkají, že plánují zveřejnit další podrobnosti o útoku po celý den.

Společnost Microsoft vydala doporučení, jak mohou správci chránit své počítače před útokem. Nejnovější aktualizace programu Windows Defender Antivirus také odhalí a odstraní hrozbu.