Νέο κύμα κακόβουλου λογισμικού κρυπτογράφησης δεδομένων πλήττει τη Ρωσία και την Ουκρανία

Ένα νέο, δυνητικά μολυσματικό κύμα κακόβουλου λογισμικού που κρυπτογραφεί τα δεδομένα σκουπίζει μέσω της Ανατολικής Ευρώπης και έχει αφήσει ένα ξεσπάσμα διακοπών σε πρακτορεία ειδήσεων, σιδηροδρομικούς σταθμούς και αεροδρόμια, σύμφωνα με πολλές εταιρείες ασφαλείας την Τρίτη.

Το κακό κουνέλι, όπως αποκαλείται το ξέσπασμα της επιδημίας, επιτίθεται κατά κύριο λόγο σε στόχους στη Ρωσία, αλλά μολύνει επίσης υπολογιστές στην Ουκρανία, την Τουρκία και τη Γερμανία, δήλωσαν ερευνητές από τη Kaspersky Lab με έδρα τη Μόσχα. Σε ένα του blog, ο πάροχος προγραμμάτων αντιμετώπισης ιών ανέφερε ότι το κακόβουλο λογισμικό χρησιμοποιεί ιστότοπους ρωσικών μέσων μαζικής ενημέρωσης για εμφάνιση ψεύτικων εγκαταστάσεων εγκατάστασης Adobe Flash, τα οποία, όταν πατήσουν, μολύνουν τον υπολογιστή που επισκέπτεται τον ιστότοπο που έχει προσβληθεί από ιούς. Ερευνητές αλλού δήλωσαν ότι το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει άλλα μέσα για να μολύνει στόχους.

Το Bad Rabbit φαίνεται να στοχεύει ειδικά σε εταιρικά δίκτυα χρησιμοποιώντας μεθόδους παρόμοιες με εκείνες που χρησιμοποιούνται σε ένα Ιουνίου επιθέσεις σκουπίστε τα δεδομένα "NotPetya" που κλείνουν υπολογιστές σε όλο τον κόσμο. Το Bad Rabbit μολύνει τους υπολογιστές των Windows και βασίζεται αποκλειστικά σε στόχους με το χέρι κάνοντας κλικ στο πρόγραμμα εγκατάστασης, δήλωσε η Kaspersky Lab. Μέχρι στιγμής, δεν υπάρχουν αποδείξεις ότι η επίθεση χρησιμοποιεί οποιαδήποτε εκμετάλλευση.

Το πρακτορείο ειδήσεων Interfax της Ρωσίας ανέφερε στο Twitter ότι μια επίθεση χάκερ έχει πάρει μερικούς από τους διακομιστές της και την αναγκάστηκε να βασιστεί στο λογαριασμό της στο Facebook προς το παρόν. Η ρωσική εταιρεία εγκληματολογίας της ομάδας IB δήλωσε ότι το Bad Rabbit έχει μολύνει άλλα δύο ρωσικά μέσα μαζικής ενημέρωσης εκτός από την Interfax. Στην κοντινή Ουκρανία, έχουν επηρεαστεί επίσης τα συστήματα πληροφορικής για το μετρό του Κιέβου, το αεροδρόμιο της Οδησσού και τα υπουργεία υποδομών και οικονομικών της Ουκρανίας, σύμφωνα με δημοσιεύθηκε στο blog το πρωί της Τρίτης από τον παροχέα antivirus Eset. Εν τω μεταξύ, η ουκρανική υπηρεσία έκτακτης ανάγκης υπολογιστών CERT-UA επίσης δημοσίευσε μια συμβουλευτική την Τρίτη το πρωί αναφέροντας μια σειρά cyberattacks, χωρίς να ονομάζουμε ειδικά το κακόβουλο λογισμικό που χρησιμοποιήθηκε σε αυτές τις επιθέσεις.

Η προκαταρκτική ανάλυση δείχνει ότι το κακόβουλο λογισμικό αναπτύσσεται επαγγελματικά και ενσωματώνει μια σειρά προηγμένων μέτρων που έχουν σχεδιαστεί για να επιτρέπουν την ταχεία μόλυνση μεγάλων κυβερνητικών και εταιρικών δικτύων. Ο ερευνητής ασφάλειας Kevin Beaumont είπε στο Twitter ότι το Bad Rabbit χρησιμοποιεί ένα νόμιμο, ψηφιακά υπογεγραμμένο πρόγραμμα που ονομάζεται DiskCryptor για να κλειδώσετε τους σκληρούς δίσκους των στόχων. Η δημοσίευση blog του Kaspersky Labs ανέφερε ότι το εκτελέσιμο αρχείο dispci.exe φαίνεται να προέρχεται από DiskCryptor και χρησιμοποιείται από το Bad Rabbit ως μονάδα κρυπτογράφησης δίσκων.

Ο Beaumont συνέχισε να λέει ότι το Bad Rabbit βασίζεται σε πιστοποιήσεις που έχουν κωδικοποιηθεί που χρησιμοποιούνται συνήθως σε δίκτυα επιχειρήσεων για κοινή χρήση αρχείων και έχει ως στόχο ένα ιδιαίτερα ευάλωτο τμήμα των σκληρών δίσκων των μολυσμένων υπολογιστών που είναι γνωστά ως κύριο αρχείο εκκίνησης. Ένα κακόβουλο αρχείο που ονομάζεται infpub.dat φαίνεται να είναι σε θέση να χρησιμοποιήσει τα διαπιστευτήρια για να επιτρέψει το Bad Rabbit να εξαπλωθεί σε άλλους υπολογιστές Windows στο ίδιο τοπικό δίκτυο, προσθέτοντας το blog του Kaspersky Labs. Σε ένα δεύτερη δημοσίευση στο blog, Ο Eset είπε ότι το κακόβουλο λογισμικό χρησιμοποιεί επίσης το εργαλείο διαχείρισης του δικτύου Mimikatz για να συγκεντρώνει διαπιστευτήρια από τα επηρεαζόμενα συστήματα.

 

Οι ερευνητές παρατήρησαν επίσης ότι κάνει το Bad Rabbit αναφορές στη δημοφιλή σειρά δράματος φαντασίας Game of Thrones, ονομάζοντας δύο προγραμματισμένες εργασίες μετά τους δράκους Drogon και Rhaegal, ρίχνοντας μια αναφορά στο τρίτο όραμα δράκων και επίσης το χαρακτήρα Grayworm.

Μόλις το Bad Rabbit μολύνει έναν υπολογιστή, εμφανίζει ένα μήνυμα με πορτοκαλί γράμματα σε μαύρο φόντο. Οδηγεί τους χρήστες σε μια τοποθεσία Dark Web που απαιτεί περίπου $ 283 στο Bitcoin για την αποκρυπτογράφηση δεδομένων που είναι αποθηκευμένα στον κρυπτογραφημένο σκληρό δίσκο. Η σκοτεινή τοποθεσία Web εμφανίζει επίσης ένα ρολόι που δίνει στα θύματα τις ώρες 40 να πληρώσουν πριν από τις αυξήσεις των τιμών. Δεν είναι ακόμα γνωστό τι συμβαίνει εάν οι στόχοι πληρώνουν τα λύτρα σε μια προσπάθεια επαναφοράς των δεδομένων τους. Το κακόβουλο λογισμικό NotPetya γράφτηκε με τρόπο που έκανε την αποκατάσταση σχεδόν αδύνατη, ένα χαρακτηριστικό που έχει προκαλέσει τις θεωρίες ότι η οι πραγματικοί στόχοι των επιτιθέμενων ήταν να σβήσουν τα δεδομένα σε μια πράξη σαμποτάζ, σε αντίθεση με τη δημιουργία εσόδων από τα ransomware. Επίσης παραμένει ασαφές ποιος είναι πίσω από την επίθεση.

Το ξέσπασμα είναι η τελευταία υπενθύμιση ότι οι άνθρωποι θα πρέπει να δημιουργήσουν αντίγραφα ασφαλείας όλων των δεδομένων τους σε δίσκους που είναι ασφαλισμένοι με κωδικό πρόσβασης ή άλλο μέτρο για την προστασία τους από τα ransomware. Η Microsoft έχει δώσει κάποια χρήσιμες οδηγίες εδώ οι διαχειριστές δικτύου μπορούν να ακολουθήσουν για να προστατεύσουν τις οργανώσεις τους από το Bad Rabbit.

Αυτή η ανάρτηση ενημερώθηκε επανειλημμένα για να προσθέσει νέες λεπτομέρειες καθώς έγιναν διαθέσιμες.

Πηγή

Διαφημίσεις

Αφήστε μια απάντηση

GTranslate Your license is inactive or expired, please subscribe again!