Bad Rabbit infekuje komputery na Starym Kontynencie (w tym w Polsce). Nie wiadomo jeszcze, kto za nim stoi, ale wiadomo jak działa.
Bad Rabbit to kolejne po WannaCry i NotPetya ransomware, którym infekowane są komputery – głównie w sieciach korporacyjnych i przede wszystkim w Europie. W ciągu ostatniej doby specjaliści od cyberbezpieczeństwa zdołali dowiedzieć się więcej na temat tego zagrożenia.
Bad Rabbit – tak rozpoczyna się atak
Jak tłumaczy ekspert ds. cybebezpieczeństwa w Trend Micro, Marek Krauze, „jedną z początkowych metod infekcji były tak zwane wodopoje (waterholes) – strony przejęte przez przestępców, którzy wgrali tam instalator popularnego oprogramowania, zainfekowanego szkodliwym kodem”. Tym popularnym oprogramowaniem był mianowicie Adobe Flash.
W tym miejscu należy zwrócić uwagę, że każdy nieuważny użytkownik może paść ofiarą takiego ataku. Jedyną radą, jakiej można udzielić przy tej okazji, to by pod żadnym pozorem nie uruchamiać podejrzanych załączników i programów, które chcą się „same” zainstalować.
Infekcja ransomware (ale nie tylko)
Wracając do tematu, taka infekcja to tylko początek. – „Bad Rabbit próbuje rozprzestrzeniać się dalej z wykorzystaniem niektórych elementów znanych z poprzedniego incydentu”, kontynuuje Krauze. Chodzi tutaj przede wszystkim o automatyczną instalację narzędzia, które próbuje wykraść dane logowania i wykorzystać je w celu uzyskania dostępu do urządzeń w sieci lokalnej (przez SMB).
Nikomu nie życzymy takiego powitania po uruchomieniu komputera.
Jak zauważa Chester Wisniewski, specjalista z Sophos – „to, co sprawia, że to złośliwe oprogramowanie jest bardziej niebezpieczne niż inne ransomware, to jego zdolność do rozprzestrzeniania się w organizacji jako wirus, a nie tylko przez załączniki wiadomości e-mail lub wtyczki sieciowe”.
Jak walczyć z tym zagrożeniem?
Przedstawiciele jednej i drugiej firmy zwracają również uwagę na to, że oprócz ostrożności przed tego typu zagrożeniami skutecznie chronią też aktualne programy antywirusowe i firewalle. Nowoczesne rozwiązania wykorzystujące uczenie maszynowe są w stanie praktycznie „z automatu” zablokować wszystkie mutacje Bad Rabbit, jakie pojawiły się lub pojawią w przyszłości.
Jeśli jednak infekcji nie uda się uniknąć, to rozpoczyna się szyfrowanie. Bad Rabbit wykorzystuje w tym celu AES-128-CBC, a następnie kasuje logi systemowe, aby w miarę możliwości utrudnić odpowiedź na to zagrożenie. Wreszcie modyfikowany jest MBR, a komputer – restartowany.
Tak przebiega infekcja Bad Rabbit (kliknij, aby powiększyć) / Trend Micro
Eksperci apelują, by nie płacić cyberprzestępcom żądanego przez nich okupu (w wysokości 0,05 bitcoina). Raz, że stanowi to motywację do kolejnych tego typu akcji. Dwa – wcale nie ma pewności, że zaszyfrowane pliki uda się odzyskać. W przypadku ransomware najlepiej jest się chronić przed zagrożeniem, a nie na nie reagować, bo wtedy najczęściej jest już za późno.
Źródło: Trend Micro, Sophos, inf. własna
Komentarze
4Jako dowód wysyłali odcięte palce czy ucho a jako okup trzeba było porzucić torbe z gotówką gdzies tam w jakiejś uliczce.
Dziś szyfruje się pliki i żąda okupu w wirtualnej walucie :)
W sumie to może i lepiej - zawsze był problem z pozbywaniem się ciała, albo przetrzymywaniem porwanego.