O nas Oferta PROMOCJE Certyfikaty Aktualności Kontakt arcserve
 
MENU 
Aktualności

27 / 11 / 2017

“Zły królik” atakuje przed świętami – nowy ransomware Bad Rabbit (raport Fortinet)

Nowy ransomware “Bad Rabbit” został po raz pierwszy wykryty we wtorek, 24 października w Rosji i na Ukrainie. Niewielką liczbę infekcji odnotowano także w pozostałej części wschodniej Europy, Niemczech i Turcji. Atak rozprzestrzenia się także na inne regiony, o czym świadczą raporty z USA i Korei Południowej.

Potwierdzono m.in., że Bad Rabbit zainfekował kilka agencji prasowych w Rosji, w tym Interfax, zmuszając ją do pracy w trybie offline. Ponadto ataku doświadczył sektor transportu publicznego. Bad Rabbit zaatakował np. Międzynarodowy Port Lotniczy w Odessie oraz metro w Kijowie.

Cel ataku.

Wstępnym celem ataku jest użytkownik, który instaluje złośliwe kopie programu Flash Player, otrzymane przez zainfekowane strony internetowe lub metodą”watering hole attack” (celem cyberprzestępcy jest określona grupa użytkowników).

Jak atakuje Bad Rabbit?

Bad Rabbit aktywuje się poprzez otwarcie złośliwego pliku .exe przez użytkownika. Następnie złośliwe oprogramowanie próbuje wykraść poświadczenia użytkownika w systemie operacyjnym Windows (nazwa użytkownika i hasła) i zaszyfrować pliki użytkowników. W przeciwieństwie do innych znanych ransomware, Bad Rabbit nie zmienia nazw plików, które szyfruje.

Testy przeprowadzone w laboratorium FortiGuard Labs firmy Fortinet wykazały, że Bad Rabbit próbuje zbudować listę różnych adresów IP w tej samej podsieci. Jednym z możliwych powodów takiego zachowania jest to, że ransomware może szukać wewnętrznego adresu IP, który jest prawidłowym serwerem internetowym.

Jak odzyskać zaszyfrowane dane?

Bad Rabbit wymaga wpłaty w wysokości 0,05 Bitcoina lub około 275 USD. Atak ten wykazuje pewne znane mechanizmy działania, które stosowały ransomware: WannaCry i Petya. Podobnie jak one używa protokołu SMB (Server Message Block), jednak w przeciwieństwie do nich Bad Rabbit nie wykorzystuje podatności Eternal Blue lub DoublePulsar.

Źródło: Fortinet.

Komentarz RAFcom.

W dobie cyfryzacji, gdzie coraz więcej danych jest przetwarzanych w wielowątkowych procesach, bardzo łatwo można pominąć drobne aspekty bezpieczeństwa, które w przypadku ataków ransomware mogą być bolesne finansowo dla wielu firm.  Warto uprzednio mieć przygotowane scenariusze działań w takich przypadkach w połączeniu z wykonywaniem regularnych kopii zapasowych wszystkich wrażliwych danych. Nie ma 100% gwarancji, że odzyskamy wszystkie dane z momentu ich szyfrowania, jednakże możemy zminimalizować straty dzięki odpowiednim procedurom odzyskiwania danych.

Zachęcamy do konsultacji ze specjalistami RAFcom – jeśli chcesz dowiedzieć się, jak skutecznie zabezpieczyć się przed ransoware i jakie oprogramowanie do backupu wybrać, skontaktuj się z nami.

Katarzyna Warzecha

Katarzyna Warzecha (Onak)

Team Leader

Kom: +48 734 173 447
katarzyna_warzecha@rafcom.com.pl
LinkedIn

Łukasz Barnaś

Łukasz Barnaś

Account Manager

Kom: +48 660 416 925 
lukasz_barnas@rafcom.com.pl
LinkedIn

Adres biura

ul. Przemysłowa 39A
33-100 Tarnów

Zadzwoń do Nas

Kom.: +48 602 651 745
Tel.: +48 14 694 04 06

Napisz do Nas

biuro@rafcom.com.pl
LinkedIn

Dział techniczny

Tel.: +48 14 694 04 06
support@rafcom.com.pl

RAFcom - Twój ekspert IT
ul. Zabłocie 18a, 43-600 Jaworzno / NIP: 6321444353 / REGON: 277126924
© 2021 All rights reserved by RAFcom / Polityka Prywatności
Website by Cleverly & Babilon.me