Bad Rabbit: Το κακόβουλο Not-Petya επέστρεψε με βελτιωμένες λειτουργίες ransomware

Το νέο κύμα κυβερνοεπιθέσεων Bad Rabbit, που έχει επιτεθεί σε εκατοντάδες οργανισμούς και επιχειρήσεις παγκοσμίως, πιθανά οφείλεται στο Diskcoder.D, μία νέα παραλλαγή του ransomware Petya, σύμφωνα με τις έρευνες της ESET.

Η τηλεμετρία της ESET έχει εντοπίσει εκατοντάδες κρούσματα του Diskcoder.D. Οι περισσότερες ανιχνεύσεις εντοπίζονται στη Ρωσία (65%) και την Ουκρανία (12,2%), αλλά υπάρχουν επίσης αναφορές με παραβιασμένα υπολογιστικά συστήματα σε Βουλγαρία (10,2%), Τουρκία (6,4%), Ιαπωνία (3,8%) και άλλες χώρες.

Το Bad Rabbit χρησιμοποιεί μεταξύ άλλων τη μέθοδο drive-by download για την εξάπλωσή του. Σύμφωνα με τις έρευνες, σε δημοφιλείς ιστότοπους που παραβιάστηκαν, βρέθηκε ότι είχε εισαχθεί κώδικας JavaScript στις HTML σελίδες. Στόχος των κυβερνοεγκληματιών είναι να εξαπατήσουν το χρήστη να εγκαταστήσει μία ενημέρωση του Flash Player, η οποία τελικά κλειδώνει τον υπολογιστή, για να του ζητήσουν λύτρα.

Το Win32/Diskcoder.D έχει τη δυνατότητα να εξαπλωθεί μέσω του πρωτοκόλλου SMB. Ωστόσο, αντίθετα με όσα ισχυρίζονται, δεν εκμεταλλεύεται την ευπάθεια EthernalBlue, όπως έκανε το Win32/Diskcoder.C (Not-Petya). Σύμφωνα με τα μέχρι στιγμής αποτελέσματα των ερευνών της ESET, το Diskcoder.D χρησιμοποιεί το εργαλείο Mimikatz για να εξάγει στοιχεία και κωδικούς πρόσβασης από τα παραβιασμένα συστήματα, ενώ διαθέτει και μια λίστα με hard-coded διαπιστευτήρια.

Καθώς η ανάλυση βρίσκεται ακόμη σε εξέλιξη, οι ενδιαφερόμενοι μπορούν να επισκέπτονται το στο επίσημο blog της ESET, WeLiveSecurity, για διαρκή ενημέρωση. Οι χρήστες των λύσεων ESET είναι ασφαλείς από αυτήν την απειλή.

Loading