Mayday! Mayday! Ett nytt utbrott av en ny ransomware har drabbat Ukrainas och Rysslands stora infrastruktur inklusive flera transportorganisationer såväl som många statliga organisationer och körs med namnet ”Bad Rabbit” .
Enligt medierapporterna har många datorer krypterats med denna cyberattack. Offentliga källor har bekräftat att Kiev Metros datorsystem tillsammans med Odessa flygplats samt andra många organisationer från Ryssland har påverkats.
Den skadliga programvaran som användes för denna cyberattack var "Disk Coder.D" - en ny variant av ransomware som populärt kördes med namnet “Petya”. Den tidigare cyberattacken från Disk Coder lämnade skador på global skala i juni 2017.
ESET om Bad Rabbit.
ESETs telemetrisystem har rapporterat många förekomster av Disk Coder. D i Ryssland och Ukraina finns det dock upptäckter av denna cyberattack på datorer från Turkiet, Bulgarien och ett fåtal andra länder också.
En omfattande analys av denna skadlig programvara arbetar för närvarande av ESETs säkerhetsforskare. Enligt deras preliminära resultat, Disk Coder. D använder Mimikatz-verktyget för att extrahera referenser från berörda system. Deras resultat och analys pågår och vi kommer att hålla dig informerad så snart ytterligare information avslöjas.
ESET-telemetrisystemet informerar också om att Ukraina endast står för 12, 2% från det totala antalet gånger de såg Bad Rabbit-infiltration. Följande är återstående statistik:
- Ryssland: 65%
- Ukraina: 12, 2%
- Bulgarien: 10, 2%
- Turkiet: 6, 4%
- Japan: 3, 8%
- Övrigt: 2, 4%
Den nämnda distributionen av länder kompromitterades av Bad Rabbit i enlighet därmed. Intressant nog drabbades alla dessa länder på samma gång. Det är ganska troligt att gruppen redan hade sin fot i de berörda organisationernas nätverk.
Hur.
Distributionsmetoden som används för Bad Rabbit är "Drive-By Download". I enklare termer är en nedladdning av drivrutiner en oavsiktlig popup-nedladdning som visas på webbplatser eller e-post. I dessa fall hävdar "leverantören" att användaren "samtyckte" till den specifika nedladdningen, även om användaren faktiskt inte var helt medveten om att ha startat en oönskad eller skadlig programnedladdning.
På samma sätt, med Bad Rabbit-fallet, vad vi har sett hittills är en pop-up som ber om att ladda ner en uppdaterad version av Adobes Flash Player som visas nedan.
Så snart någon trycker på nedladdningsknappen laddas ner en körbar fil. Den här körbara filen, dvs. install_flash_player.exe, är dropparen för Bad Rabbit. I slutändan låses datorn och visar lösenanteckningen på följande sätt.
Dessutom ser Bad Rabbits betalningssida ut så här.
Följande är de komprometterade webbplatserna.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // en-crimearu
- hxxp: //www.t.ksua
- hxxp: // mest dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Nu då?
Cyberattacks idag har utvecklats till många ansikten. Internet är inte längre ett säkert ställe och därför rekommenderas starkt en autentisk VPN; särskilt när du ansluter till en offentlig Wi-Fi.
Skapa en säkert krypterad tunnel mellan dig själv och Internet med branschens ledande VPN-tjänsteleverantör, Ivacy VPN och ta kontroll över din online-närvaro och skydda dina värdefulla data.
