Bezpečnostní tým Cisco Talos odhalil nový útok ransomwaru, který se jmenuje Bad Rabbit. Nebezpečný software se podle něj šíří stejným způsobem jako nedávný globální útok ransomwaru Nyetya, jedná se tedy o virus typu červ. Útoky směřují zejména na východní Evropu a Rusko.
Do zařízení se škodlivý software dostane tak, že jej uživatelé stáhnou a spustí v domnění, že jde o aktualizaci oblíbeného nástroje Flash Player. Uživatelům, kteří navštíví infikované webové stránky, se zobrazí aktualizační okno s možnostmi „Remind later“ a „Install“. Obě varianty ale vedou k infekci. Napadené organizace by neměly podnikat žádnou akci, ale kontaktovat svoji IT podporu.
“Zatím zatím není zcela jasné, jaká ransomwarová varianta byla k útokům použita, ale znovu se ukazuje, jak nebezpečný ransomware může být. A jak rychle může narušit životně důležité služby, pokud není použito správné zabezpečení. Organizace musí v první řadě předcházet hrozbám a používat preventivní bezpečnostní technologie a skenovat, blokovat a filtrovat podezřelý obsahu předtím, než se dostane do sítě, kde by mohl začít šifrovat soubory. Počet ransomwarových útoků se v první polovině roku 2017 zdvojnásobil ve srovnání se stejným obdobím v roce 2016, ale 99 % organizací stále ještě nemá základní kyberbezpečnostní technologie, které mohou podobným útokům zabránit. Pokud by měly organizace odpovídající bezpečnostní mechanismy, mohly by zabránit i těmto útokům," říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.
Stejně jako Nyetya, využívá Bad Rabbit vlastní verzi nástroje pro obnovu hesla Mimikatz a k šíření zneužívá SMB protokoly, aby se po místní síti mohl rozšířit i do dalších počítačů. Tento útok spojuje techniku šíření škodlivého softwaru z napadených webových stránek s funkčností viru červ, který byl nedávno viděn ve WannaCry a Nyetya. Podle dostupných informací byl malware aktivní přibližně šest hodin před tím, než byla zdrojová webová stránka odstraněna. Tento útok však svědčí o tom, že hackeři se neustále učí a své útoky zlepšují.
Bezpečnostní tým Cisco Talos doporučuje organizacím k ochraně víceúrovňový přístup: Blokovat přístup ke škodlivým webům, zablokovat možné stahování malwaru a pomocí ochrany koncových bodů zastavit napadení zařízení. To všechno samozřejmě v kombinaci se zásadami správného zálohování a bezpečnostního školení uživatelů.
Doplněno o zjištění Kaspersky Lab:
Z analýzy Kaspersky Lab vyplývá, že hašovací algoritmus použitý v programu Bad Rabbit je podobný tomu, který byl použit během infekce ExPetr. Odborníci dále zjistili, že oba útoky využívají stejné domény. Podobnosti v příslušných zdrojových kódech naznačují, že je současný útok spojen s tvůrci útoku ExPetr. Stejně jako ExPetr se Bad Rabbit snaží zmocnit citlivých údajů v paměti systému a rozšířit se firemní sítí prostřednictvím WMIC. Odborníci nicméně v tomto programu nenašli exploity EternalBlue ani EternalRomance, které byly využity v ransomwaru ExPetr.
Další vyšetřování Kaspersky Lab poukazuje na fakt, že se útočníci na tuto operaci chystali přinejmenším od tohoto července. Vytvářeli infikovanou síť na napadených zařízeních, která patří především mediálním a zpravodajským institucím. Z dat analýzy firmy vyplývá, že Bad Rabbit napadl bezmála 200 cílů v Rusku, na Ukrajině, v Turecku a Německu. Veškeré útoky se odehrály v úterý 24. října a od té doby se žádné další neobjevily. Odborníci se proto domnívají, že jakmile se infekce rozšířila a upoutala pozornost bezpečnostních společností, které ji začaly vyšetřovat, útočníci okamžitě odstranili zákeřný kód, který vložili do hacknutých webových stránek.
