Další agresivní ransomware. Bad Rabbit řádí v Rusku a na Ukrajině

25. 10. 2017

Zdroj: Redakce

Oproti přechozím letošním velkým útokům se tento nespoléhá na díru v počítači. Výsledek je ovšem podobný jako minule. V kyjevském metru např. kartou nezaplatíte jízdenku.

Letošek je na útoky ransomwaru bohatý, čímž nám znovu významně připomněl, jak je důležité používat záplatovaný software a také zdravý rozum. V posledních dvou letech ransomware představuje dobrý byznys – „vydělal“ přes 25 milionů dolarů. V květnu začal ve velkém útočit škodlivý kód, jemuž bylo přisouzeno jméno WannaCry a který pravděpodobně pocházel ze Severní Koreje. Další útok přišel koncem července a šlo o ransomware Petya. Ten zasáhl klíčová centra Ukrajiny, takže nefungovaly některé bankomaty, platební terminály na čerpacích stanicí nebo v metru, dále některé vládní počítače apod. O tomto útoku se spekuluje, že přišel z Ruska. Tip: Microsoft přidal do Windows 10 funkci pro ochranu vybraných složek před ransomwarem

Nový měsíc, nový ransomware

Mj. bezpečnostní firma Kaspersky Lab dne 24. října zaznamenala další velký útok. Tentokrát začal řádit ransomware nazvaný Bad Rabbit. Podle zástupců firmy se prozatímní vlna útoků soustředila primárně na Rusko, postižena ale byla částečně opět také Ukrajina. Zasaženi byli jednotlivci, ale i organizace. Aby byly soubory odemčeny, musíte provést platbu ve výši 0,05 bitcoinu (zhruba 6 tisíc korun).

Ilustrační foto (zdroj: Kaspersky Labs)

Pokud se zaplacením otálíte, cena výkupného se zdvihá. Klíče k zašifrovaným datům jsou vygenerovány pomocí funkce CryptGenRandom a je použit silný klíč RSA 2048.

Bad Rabbit, známý též pod označením Win32/Diskcoder.D, opět zneužívá protokol SMB. Jedná se o variantu Win32/Diskcoder.C, což je nemarketingové označení pro ransomware Petya. Eset uvádí, že navzdory některým tvrzením však tento škodlivý kód nezneužívá známé zranitelné místo nazvané EternalBlue. To zneužili dříve právě Petya nebo WannaCry.

Způsob distribuce Bad Rabbitu

Jak se Bad Rabbit šíří? Zcela legitimní weby jsou napadeny a upraveny tak, že vložený skript vybídne návštěvnici či návštěvníka k aktualizaci Flash Playeru, jak zjistil Eset. Pokud klepnete na tlačítko pro stažení, dojde ke stažení souboru, jenž je pojmenován jako instalační program Flash Palyeru. Ve skutečnosti po spuštění dojde k zašifrování osobních souborů.

Co počítače ochrání, když ne záplata? Jak vyplývá z uvedených okolností, tak to, že nespustíte stažený soubor jako install_flash_player.exe. Pokud si tedy opravdu nestahujete příslušný instalační program přímo z webu Adobe.

Tak vypadá výzva ransomwaru Bad Rabbit k zaplacení výkupného (foto: Kaspersky Lab)

Ti pokročilejší si uvědomí, že Flash Player se v Edgi nebo Chromu ručně vůbec neinstaluje ani neaktualizuje, ale je jasné, že mnoho méně pokročilých uživatelů a uživatelek může a bude podobnou výzvou k instalaci zdánlivě legitimního softwaru zmanipulováno.

Když se škodlivý kód do počítače dostane, použije protokol SMB k vyhledání dalších počítačů v lokální síti. Čili jedná se o podobný scénář jako v případě předchozích letošních útoků. Bad Rabbit dále hledá funkční přihlašovací údaje (k tomu používá nástroj Mimikatz) a zkouší také jednoduché kombinace uživatelských jmen a hesel. Tímto způsobem se ransomware šíří dále.

Kde ransomware útočí?

Eset zveřejnil seznam zemí s procentuálním zastoupením distribuce Bad Rabbitu:

Rusko: 65 %,
Ukrajina: 12,2 %,
Bulharsko: 10,2 %,
Turecko: 6,4 %,
Japonsko: 3,8 %,
zbývající: 2,4 %.

Firma ale upozorňuje, že ačkoli byl distribuční soubor na Ukrajině stažen méněkrát, zdá se, že země pociťuje následky nejvíc. Eset situaci vyšetřuje, má však zatím teorii, že útočná skupina měla přístup do sítí velkých subjektů už dříve a útok spustila najednou. Ukrajina ve výsledku zažila výpadek počítačů mj. v transportních službách – metro v Kyjevu, kde tím pádem nelze jízdné zaplatit platební kartou, dále i letiště v Oděse.

Kaspersky Lab zaznamenal útok na nejméně 200 organizací globálně. Hlavní vlna útoků se odehrála 24. října do poledne. Jako vždy je nejlepším řešením je obnovit oddíly ze zálohy. Bezpečnostní výzkumník Amit Serper dále radí vytvořit tyto dva soubory a těm odebrat všechna oprávnění (hlavně oprávnění pro zápis): c:\windows\infpub.dat a c:\windows\cscc.dat.

Kdo za útokem stojí, momentálně není jasné.