BadRabbit Ransomware, povezana z izbruhom NotPetya, razbija Rusija in Ukrajina


Pred štirimi meseci je bil ogromen napad ransomware, znan kot NotPetya Ukrajina, Rusija in nekatera večnacionalna podjetja okužijo več tisoč omrežij in sčasoma povzročijo škodo na stotine milijonov dolarjev. Zdaj se navidezna poškodba tega napada ponavlja skozi regijo, saj nova različica te kode zapre stotine strojev in infrastrukture prikrajšanosti.

V torek je varnostna skupnost začela slediti nov izbruh ransomware, vezan na avtorje NotPetya. Znan je kot BadRabbit, sev je okužil na stotine računalnikov – večinoma v Rusiji, vendar z nekaterimi žrtvami v Ukrajini, Turčiji, Bolgariji in Nemčiji – po varnostnih podjetjih, vključno z ESET in Kaspersky . Za zdaj je izbruh še majhen del velikosti epidemije NotPetya. Vendar pa je kljub temu prizadela več ruskih medijskih mest, vključno z novim omrežjem Interfax, po ruski varnostni družbi Group-IB ter tudi okužila ukrajinsko letališče Odessa in podzemno železnico v Kijevu, delno paralizirala svoje IT sisteme in onemogočila plačila s kreditno kartico sistema podzemne železnice, po mnenju enega ukrajinskega vladnega uradnika.

"Nevarni vidik je dejstvo, da je lahko okužila številne institucije, ki v tako kratkem časovnem obdobju predstavljajo ključno infrastrukturo," pravi Robert Lipovsky, raziskovalec zlonamerne programske opreme na ESET, "ki označuje dobro usklajen napad."

Kaspersky je našel tudi trdne dokaze, ki so povezali nov napad z ustvarjalci NotPetya. Po junijskem izbruhu NotPetya so analitiki podjetja ugotovili, da je ena ukrajinska novičarska stran, Bahmut.com.ua, bila vdorjena za dostavo zlonamerne programske opreme, skupaj z več desetimi drugimi spletnimi mesti, ki so bile podobno poškodovane – vendar še niso aktivirane, da bi začele okužbe žrtev. Kaspersky je ugotovil, da je 30 teh hacked spletnih mest začelo distribuirati zlonamerno programsko opremo BadRabbit v torek.

"To kaže, da igralci ExPetr / NotPetya skrbno načrtujejo napad BadRabbit od julija", piše Costin Raiu,

ESET

Medtem ko ima Kaspersky med svojimi uporabniki nekaj manj kot 200 žrtev, je okrog 50 ali 60 ukrajinskih računalnikov v ukrajinski vladi samo okuženih z ransomware, je dejal Roman Boyarchuk, vodja Centra za zaščito Cyber Državna služba Ukrajine za posebne komunikacije in zaščito informacij. Morebiti v ukrajinskem omrežju zasebnega sektorja vplivajo več naprav. Glede na to, da ESET ocenjuje, da je le 12,2 odstotka žrtev v Ukrajini in 65 odstotkov v Rusiji, te številke nakazujejo več sto okužb v Rusiji.

"Veliko sistemov je bilo ročno prekinjeno zaradi napad, "delno za nadzor širjenja ransomware, pravi Boyarchuk. Toda ta motnja še vedno predstavlja samo del škode, ki jo je utrpela Ukrajina zaradi prejšnjega zlorabnega napada NotPetya v juniju ali v številnih drugih napadih v triletnem trinajstletnem cyberwaru z Rusijo . "Obseg ozemlja in pokritost ni tako resen glede na podatke, ki jih imamo zdaj," dodaja Boyarchuk. "Ne vidimo nobene množične distribucije."

Nadaljnje povezave do NotPetya izstopajo tudi za analitike zlonamerne programske opreme. Kaspersky ugotavlja, da se, tako kot NotPetya, nova ransomware širi z uporabo ukazne vrstice za upravljanje programa Windows Management ali WMIC v kombinaciji s poverilnicami, ki jih ukrade z uporabo orodja odprtega vira Mimikatz. Tako kot NotPetya, BadRabbit se širi tudi z Microsoftovim protokolom protokola strežniškega sporočila, čeprav uporablja poverilnice, ki jih je težko kodificirana v svoji programski opremi, da se razširijo med računalnike, ne pa z orodjem NSA, znanega kot EternalBlue, ki ga uporablja NotPetya

Če so bili BadRabbit in NotPetya dejansko ustvarjeni z istimi hekerji, njihova skupna izvornost postavlja pomembna vprašanja o motivih ransomware. Po reverznem inženirstvu NotPetya so nekateri raziskovalci ugotovili, da sploh ni bila ransomware in žrtvam ni ponudila nobene možnosti za obnovitev svojih datotek, tudi če so plačali odkupnino . Namesto tega se je zdelo, destruktivno zlonamerno programsko opremo, ki so jo sprožili državni sponzorirani (verjetno ruski) hekerji in pomenili le največje motnje ukrajinskih ciljev. Ampak glede na to, da je večina BadRabbitovih žrtev ruska, lahko novi incident vzbuja dvome o tem, da so korenine ruske vlade, ki so osumljene Notpetije,

BadRabbit zahteva, da uporabniki plačajo 0,05 bitkoin ali približno 286 $, dešifrirano. Ampak s svojo povezavo z Notepetinim lažnim ransomware, ali to plačilo dejansko dobi rezultate, je do zdaj nejasno. Za razliko od NotPetya, ki je bil večinoma dostavljen mrežam žrtev prek so bile popravljene posodobitve ukrajinske računovodske programske opreme MeDoc ]so raziskovalci do sedaj odkrili le še večjo metodo okužbe, ki se uporablja za namestitev programa BadRabbit: ESET in Kaspersky sta ugotovila, da so hekerji okužili ruska in ukrajinska novičarska mesta, da bi zlonamerno programsko opremo posredovali z lažno posodobitvijo Flash, ročno namestiti sami.

"Igralci za ExPetr / NotPetya skrbno načrtujejo napad BadRabbit od julija."

Costin Raiu, Kaspersky Lab

Toda ESET-ov Robert Lipovsky ostaja pozoren, da je bilo zlonamerno programsko opremo morda vbrizgano v ciljna omrežja z drugim, bolj napetim okužbo. "Čeprav je to zelo verjetno vektorja okužbe, je dvomljivo, da je to glavni vektor okužbe … in precej mogoče je dimni zaslon, "pravi.

Ukrajinski vladar Boyarchuk je opozoril na opozorilo od ukrajinske ekipe za odzivanje v nujnih primerih ki kaže, da je Microsoft Office Dynamic Exchange ranljivost je bila uporabljena tudi za okužbo žrtev z zlonamernimi datotekami Word, Excel in Outlook, toda drugi raziskovalci še niso potrdili teh ugotovitev.

Vse to pušča veliko neodgovorjenih vprašanj o mehaniki in motivaciji ta najnovejši ransomware flareup. Toda, ali se BadRabbit izkaže kot ciljno usmerjeno državno sporno spletno podjetje ali zgolj neutemeljena neprofitna operacija, že čuti svojo prisotnost.