Maj dag! Maj dag! Et andet udbrud af en ny ransomware har ramt den store infrastruktur i Ukraine og Rusland, herunder flere transportorganisationer såvel som mange statslige organisationer og kører under navnet "Bad Rabbit" .
I henhold til medierapporterne er mange computere blevet krypteret med dette cyberangreb. Offentlige kilder har bekræftet, at Kiev Metros computersystemer sammen med Odessa lufthavn samt andre talrige organisationer fra Rusland er blevet berørt.
Den malware, der blev brugt til dette cyberangreb, var “Disk Coder.D” - en ny variant af ransomware, der populært kørte under navnet “Petya”. Det forrige cyberangreb fra Disk Coder efterlod skader på verdensplan i juni 2017.
ESET om Bad Rabbit.
ESETs telemetrisystem har rapporteret adskillige forekomster af Disk Coder. I Rusland og Ukraine er der dog afsløringer af dette cyberangreb på computere fra Tyrkiet, Bulgarien og et par andre lande også.
ESETs sikkerhedsforskere arbejder i øjeblikket med en omfattende analyse af denne malware. Pr. Deres foreløbige fund, Disk Coder. D bruger Mimikatz-værktøjet til at udtrække legitimationsoplysninger fra berørte systemer. Deres fund og analyse er løbende, og vi vil holde dig informeret, så snart yderligere detaljer afsløres.
ESET-telemetrisystemet oplyser også, at Ukraine kun tegner sig for 12, 2% fra det samlede antal gange, de så Bad Rabbit-infiltration. Følgende er de resterende statistikker:
- Rusland: 65%
- Ukraine: 12, 2%
- Bulgarien: 10, 2%
- Tyrkiet: 6, 4%
- Japan: 3, 8%
- Andet: 2, 4%
Den førnævnte distribution af lande blev kompromitteret af Bad Rabbit i overensstemmelse hermed. Interessant nok blev alle disse lande ramt på samme tid. Det er meget sandsynligt, at gruppen allerede havde deres fod inden for netværket af de berørte organisationer.
Hvordan.
Distributionsmetoden, der bruges til Bad Rabbit, er “Drive-By Download”. I enklere vendinger er en drive-by-download en utilsigtet download-pop-up, der vises på websteder eller e-mails. I disse tilfælde hævder "leverandøren", at brugeren "samtykker" til den pågældende download, selvom brugeren faktisk ikke var helt uvidende om at have startet en uønsket eller ondsindet software-download.
Tilsvarende med Bad Rabbit-sagen er det, vi har set indtil nu, en pop-up, der beder om at downloade en opdateret version af Adobes Flash Player, som vist nedenfor.
Så snart nogen rammer download-knappen, downloades en eksekverbar fil. Denne eksekverbare fil, dvs. install_flash_player.exe, er dropper for Bad Rabbit. I sidste ende låses computeren ned og viser løsningsmeddelelsen som følger.
Derudover ser Bad Rabbits betalingsside sådan ud.
Følgende er de kompromitterede websteder.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // et-crimearu
- hxxp: //www.t.ksua
- hxxp: // mest dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Hvad nu?
Cyber-angreb i dag har udviklet sig til mange ansigter. Internettet er ikke et sikkert sted længere, hvorfor brug af en autentisk VPN stærkt anbefales; især når du opretter forbindelse til en offentlig Wi-Fi.
Opret en sikkert krypteret tunnel mellem dig selv og Internettet med branchens førende VPN-tjenesteudbyder, Ivacy VPN, og tag kontrol over din online tilstedeværelse og beskytte dine værdifulde data.
