Presskové správy Top

Vo svete sa šíri nový ransomvér Bad Rabbit

BRATISLAVA – Technológie spoločnosti Kaspersky Lab zachytili útoky ďalšieho nebezpečného ransomvéru označovaného ako Bad Rabbit, ktorý sa masívne šíri do celého sveta – zasiahol webové stránky mediálnych spoločností v Rusku, podľa informácií BBC aj niektoré kritické infraštruktúry ako letisko na Ukrajine či kyjevské metro. Menšie útoky sú podľa zistení Kaspersky Lab hlásené aj z ďalších krajín ako Turecko a Nemecko.

Vyacheslav Zakorzhevsky, šéf výskumného tímu Anti-Malware Research Team v spoločnosti Kaspersky Lab:

„Väčšina útokov je smerovaná na ciele v Rusku. Podobné útoky, ale v menšom rozsahu sme zaznamenali aj na Ukrajine, Turecku a Nemecku. Ransomvér sa šíri cez infikované webové stránky prevažne mediálnych spoločností v Rusku. Podľa našich zistení sú útoky namierené najmä na korporátne siete, pričom útočníci využívajú podobné metódy ako pri útokoch ransomvéru ExPetr z pred pár mesiacov. Zatiaľ však nevieme úplne potvrdiť priame prepojenie s útokmi ExPetr. V našich vyšetrovaniach naďalej pokračujeme.

Technológie Kaspersky Lab detekovali útoky ako reťazce: UDS:DangerousObject.Multi.Generic (zistenia v rámci Kaspersky Security Network), PDM:Trojan.Win32.Generic (detekcie uskutočnené technológiou System Watcher), ale aj ako Trojan-Ransom.Win32.Gen.ftl.

Korporátnym zákazníkom odporúčame, aby skontrolovali, či majú aktivované všetky bezpečnostné mechanizmy, vrátane komponentov Kaspersky Security Network a System Watcher (v prípade, že využívajú technológie Kaspersky Lab). Pre spoločnosti, ktoré nevyužívajú riešenia Kaspersky Lab odporúčame, aby obmedzili prácu so súbormi  c:\windows\infpub.dat and C:\Windows\cscc.dat s využitím nástrojov systémového administrátora.  “

Kaspersky Lab neskôr potvrdili súvislosť medzi ransomvérmi Bad Rabbit a ExPetr, vyšetrovania pokračujú:

  • Výskumníci spoločnosti Kaspersky Lab odhalili, že ransomvérové útoky Bad Rabbit majú jasné prepojenie na ransomvér ExPetr, ktorý zaútočil v júni t.r.
  • Výsledky analýzy ukázali, že tzv. hashing algoritmus použitý kyberzločincami pri súčasnom útoku Bad Rabbit je podobný ako ten, ktorý bol použitý pri útokoch ExPetr. Expertom sa tiež podarilo zistiť, že pri obidvoch útokoch boli použité rovnaké domény; a ďalšie stopy k tvorcom ExPetr vedú aj cez podobnosti v príslušných zdrojových kódoch.
  • Tak, ako ExPetr, aj Bad Rabbit sa pokúša získať poverenia zo systémovej pamäte a rozširovať v rámci korporátnej siete prostredníctvom WMIC.  Analýzy však v prípade Bad Rabbit nepotvrdili výskyt exploitov EternalBlue a EternalRomance, ktoré boli používané v rámci útokov ransomvéru ExPetr.
  • Vyšetrovanie tiež ukázalo, že tento útok bol pripravovaný už od júla 2017, kedy sa začala nasadzovať infekcia na hacknuté stránky, pričom vo väčšine prípadov ide o stránky mediálnych a spravodajských servisov.
  • Podľa expertov spoločnosti Kaspersky Lab zasiahol Bad Rabbit takmer 200 cieľov prevažne v Rusku, na Ukrajine, Turecku a Nemecku. K útokom došlo 24. októbra, odvtedy neboli zaznamenané žiadne nové pokusy. Výskumníci si všimli, že v momente, kedy došlo k masívnejšiemu rozšíreniu útokov a začatiu investigatívnych vyšetrovaní bezpečnostnými spoločnosťami, útočníci okamžite odstránili škodlivý kód zo všetkých napadnutých webových stránok.
  • Produkty spoločnosti Kaspersky Lab úspešne detekovali ransomvér a proaktívne zareagovali na útoky hneď, ako boli spustené. Detekciu v priamom prenose môžete sledovať aj v tomto videu -https://www.youtube.com/watch?v=ZeZ9C8aPWtc&t=3s.
  • Experti Kaspersky Lab pokračujú vo vyšetrovaniach a analýze útoku Bad Rabbit s cieľom odhaliť prípadné chyby v kryptografických postupoch.

Foto: FB / Kaspersky Lab