„Zły królik” atakuje przed świętami – nowy ransomware Bad Rabbit (raport Fortinet)
Nowy ransomware „Bad Rabbit” został po raz pierwszy wykryty we wtorek, 24 października w Rosji i na Ukrainie. Niewielką liczbę infekcji odnotowano także w pozostałej części wschodniej Europy, Niemczech i Turcji. Atak rozprzestrzenia się także na inne regiony, o czym świadczą raporty z USA i Korei Południowej.
Potwierdzono m.in., że Bad Rabbit zainfekował kilka agencji prasowych w Rosji, w tym Interfax, zmuszając ją do pracy w trybie offline. Ponadto ataku doświadczył sektor transportu publicznego. Bad Rabbit zaatakował np. Międzynarodowy Port Lotniczy w Odessie oraz metro w Kijowie.
Cel ataku.
Wstępnym celem ataku jest użytkownik, który instaluje złośliwe kopie programu Flash Player, otrzymane przez zainfekowane strony internetowe lub metodą”watering hole attack” (celem cyberprzestępcy jest określona grupa użytkowników).
Jak atakuje Bad Rabbit?
Bad Rabbit aktywuje się poprzez otwarcie złośliwego pliku .exe przez użytkownika. Następnie złośliwe oprogramowanie próbuje wykraść poświadczenia użytkownika w systemie operacyjnym Windows (nazwa użytkownika i hasła) i zaszyfrować pliki użytkowników. W przeciwieństwie do innych znanych ransomware, Bad Rabbit nie zmienia nazw plików, które szyfruje.
Testy przeprowadzone w laboratorium FortiGuard Labs firmy Fortinet wykazały, że Bad Rabbit próbuje zbudować listę różnych adresów IP w tej samej podsieci. Jednym z możliwych powodów takiego zachowania jest to, że ransomware może szukać wewnętrznego adresu IP, który jest prawidłowym serwerem internetowym.
Jak odzyskać zaszyfrowane dane?
Bad Rabbit wymaga wpłaty w wysokości 0,05 Bitcoina lub około 275 USD. Atak ten wykazuje pewne znane mechanizmy działania, które stosowały ransomware: WannaCry i Petya. Podobnie jak one używa protokołu SMB (Server Message Block), jednak w przeciwieństwie do nich Bad Rabbit nie wykorzystuje podatności Eternal Blue lub DoublePulsar.
Źródło: Fortinet.
Komentarz RAFcom.
W dobie cyfryzacji, gdzie coraz więcej danych jest przetwarzanych w wielowątkowych procesach, bardzo łatwo można pominąć drobne aspekty bezpieczeństwa, które w przypadku ataków ransomware mogą być bolesne finansowo dla wielu firm. Warto uprzednio mieć przygotowane scenariusze działań w takich przypadkach w połączeniu z wykonywaniem regularnych kopii zapasowych wszystkich wrażliwych danych. Nie ma 100% gwarancji, że odzyskamy wszystkie dane z momentu ich szyfrowania, jednakże możemy zminimalizować straty dzięki odpowiednim procedurom odzyskiwania danych.
Zachęcamy do konsultacji ze specjalistami RAFcom – jeśli chcesz dowiedzieć się, jak skutecznie zabezpieczyć się przed ransoware i jakie oprogramowanie do backupu wybrać, skontaktuj się z nami.
