Mai dag! Mai dag! Nok et utbrudd av en ny ransomware har rammet den store infrastrukturen i Ukraina og Russland, inkludert flere transportorganisasjoner så vel som mange statlige organisasjoner, og kjøres under navnet “Bad Rabbit” .
I henhold til medieoppslagene er mange datamaskiner blitt kryptert med dette nettangrepet. Offentlige kilder har bekreftet at Kiev Metros datasystemer sammen med Odessa lufthavn samt andre utallige organisasjoner fra Russland er blitt berørt.
Den skadelige programvaren som ble brukt til dette cyberangrepet var “Disk Coder.D” - en ny variant av løseprogramvaren som populært kjørte under navnet “Petya”. Det forrige cyberangrepet av Disk Coder etterlot seg skader på verdensbasis i juni 2017.
ESET om Bad Rabbit.
ESETs telemetriesystem har rapportert om mange forekomster av Disk Coder. I Russland og Ukraina er det imidlertid deteksjoner av dette nettangrepet på datamaskiner fra Tyrkia, Bulgaria og noen få andre land også.
ESETs sikkerhetsforskere arbeider for tiden med en omfattende analyse av denne malware. I henhold til deres foreløpige funn, Disk Coder. D bruker Mimikatz-verktøyet for å hente ut legitimasjon fra berørte systemer. Resultatene og analysene deres pågår og vi vil holde deg informert så snart ytterligere detaljer blir avslørt.
ESET-telemetri-systemet informerer også om at Ukraina bare utgjør 12, 2% fra det totale antall ganger de så Bad Rabbit-infiltrasjon. Følgende er resterende statistikk:
- Russland: 65%
- Ukraina: 12, 2%
- Bulgaria: 10, 2%
- Tyrkia: 6, 4%
- Japan: 3, 8%
- Annet: 2, 4%
Den nevnte fordelingen av land ble kompromittert av Bad Rabbit tilsvarende. Interessant nok ble alle disse landene rammet på samme tid. Det er ganske sannsynlig at gruppen allerede hadde foten i nettverket til de berørte organisasjonene.
Hvordan.
Distribusjonsmetoden som brukes for Bad Rabbit er "Drive-By Download". I enklere vendinger er en nedlastbar stasjon en utilsiktet nedlastingspop-up som vises på nettsteder eller e-poster. I disse tilfellene hevder "leverandøren" at brukeren "samtykket" til den aktuelle nedlastingen, selv om brukeren faktisk ikke var helt klar over å ha startet en uønsket eller ondsinnet programvarenedlastning.
På samme måte, med Bad Rabbit-saken, er det vi har sett til nå en pop-up som ber om å laste ned en oppdatert versjon av Adobes Flash Player som vist nedenfor.
Så snart noen trykker på nedlastingsknappen, lastes den ned en kjørbar fil. Denne kjørbare filen, dvs. install_flash_player.exe, er dropper for Bad Rabbit. Til syvende og sist låser datamaskinen seg og viser løsepengerbrevet som følger.
Videre ser betalingssiden til Bad Rabbit noe slik ut.
Følgende er kompromitterte nettsteder.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // en-crimearu
- hxxp: //www.t.ksua
- hxxp: // mest dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Hva nå?
Cyber-angrep i dag har utviklet seg til mange ansikter. Internett er ikke et trygt sted lenger, og det er grunnen til at bruk av en autentisk VPN anbefales på det sterkeste; spesielt når du kobler til et offentlig Wi-Fi.
Lag en sikker kryptert tunnel mellom deg selv og Internett med bransjens ledende VPN-tjenesteleverandør, Ivacy VPN, og ta kontroll over din online tilstedeværelse og sikre dine verdifulle data.
