Cisco Talos, światowy zespół do spraw cyberbezpieczeństwa, przeanalizował nową, zaawansowaną odmianę ransomware, przypominającą wirus Nyetya (Not-Petya). Ransomware Bad Rabbit został skierowany głównie na tereny Europy Wschodniej i Rosji.

ransomware

Z tego, co udało się ustalić do tej pory, użytkownik musi pobrać ze skompromitowanych witryn i ręcznie uruchomić dropper, który łudząco przypomina aktualizację wtyczki Flash Player.

Petya – kolejny po WannaCry globalny atak ransomware (wideo)

Podobnie jak w przypadku wirusa Nyetya, Bad Rabbit wykorzystuje niestandardową wersję narzędzia do odzyskiwania haseł mimikatz i wykorzystuje udziały sieciowe SMB do próby rozprzestrzeniania się na dalsze hosty w sieci lokalnej.
Atak łączy w sobie technikę rozpowszechniania złośliwego oprogramowania ze skompromitowanych witryn z funkcjonalnością robaka znanego z ostatnich ataków WannaCry i Netya (Not-Petya).

Epidemia Petya – nie chodzi o pieniądze, chodzi o globalną politykę!

Na podstawie aktualnych informacji, szkodliwe oprogramowanie było aktywne przez około sześć godzin zanim witryna je rozpowszechniająca została zablokowana. Atak ten jest jednak dowodem na to, że cyberprzestępcy stale uczą się i starają się udoskonalić techniki ataku. Cisco Talos stale monitoruje środowisko zagrożenia w celu zapewnienia ochrony przed najnowszymi zagrożeniami.

Rekomendacje:

Firmy i instytucje muszą zadbać o holistyczne podejście do bezpieczeństwa, które uwzględnia blokowanie dostępu do złośliwych stron internetowych, blokowanie pobierania złośliwego oprogramowania, niedopuszczanie do zainfekowania urządzeń przez zastosowanie ochrony punktów końcowych, tworzenie kopii zapasowych i edukację użytkowników.

Szczegółowe informacje na temat ataku dostępne są na blogu Cisco Talos: http://blog.talosintelligence.com/2017/10/bad-rabbit.html

źródło: Cisco

Kan