Ο «Κακός Λαγός»…. είναι εδώ και απειλεί τα προσωπικά μας δεδομένα
25/10/17, 15:53
Μια νέα επίθεση ransomware εξαπλώνεται στην Ευρώπη και έχει επηρεάσει ήδη πάνω από 200 μεγάλες οργανώσεις, κυρίως στη Ρωσία, την Ουκρανία, την Τουρκία και τη Γερμανία.
Ονομάζεται «Bad Rabbit», σύμφωνα με πληροφορίες, είναι ίδια με την προηγούμενη επίθεση που ξεκίνησε με το ransomware Petya, εναντίον εταιρικών δικτύων, απαιτώντας 0,05 bitcoin (~ $ 285) ως λύτρα από τα θύματα για να ξεκλειδώσουν τα συστήματά τους.
Σύμφωνα με την αρχική ανάλυση που πραγματοποιήσαμε στα εργαστήρια της Audax Cybersecurity, το ransomware διανεμήθηκε μέσω επιθέσεων μεταφόρτωσης, χρησιμοποιώντας ψεύτικο εγκαταστάτη για τον Adobe Flash Player, με σκοπό να προσελκύσουν τα θύματα να εγκαταστήσουν τα κακόβουλα προγράμματα.
Από τις έρευνες που πραγματοποιήσαμε στα εργαστήρια της Audax Cybersecurity, έχουμε εντοπίσει το κακόβουλο λογισμικό Bad Rabbit ως «Win32 / Diskcoder.D» – μια νέα παραλλαγή του Petya ransomware, επίσης γνωστή ως Petrwrap, NotPetya, exPetr και GoldenEye.
Το Bad Rabbit ransomware χρησιμοποιεί DiskCryptor, ένα λογισμικό κρυπτογράφησης πλήρους δίσκου ανοιχτού κώδικα, για την κρυπτογράφηση αρχείων σε μολυσμένους υπολογιστές με κλειδιά RSA 2048.
Πιστεύουμε ότι το νέο κύμα της επίθεσης ransomware δεν χρησιμοποιεί το EternalBlue exploit – την SMB ευπάθεια που χρησιμοποιήθηκε από τα WannaCry και Petya ransomware για να εξαπλωθεί μέσω δικτύων.
Αντ ‘αυτού, ανιχνεύει πρώτα το εσωτερικό δίκτυο για ανοιχτά κοινόχρηστα στοιχεία SMB, δοκιμάζει έναν κώδικα με τα διαπιστευτήρια που χρησιμοποιούνται συνήθως για την απομάκρυνση κακόβουλου λογισμικού και επίσης χρησιμοποιεί το εργαλείο για να εξαγάγει τα διαπιστευτήρια από τα επηρεαζόμενα συστήματα.
Και φυσικά όλα αυτά γίνονται για να ζητηθούν πάλι λύτρα από τους ιδιοκτήτες των μηχανημάτων μέσω bitcoin.
Οι χάκερς ζητούν από τα θύματα τους να συνδεθούν σε έναν ιστότοπο Tor για να πραγματοποιήσουν την πληρωμή, η οποία εμφανίζει αντίστροφη μέτρηση 40 ωρών προτού αυξηθεί η τιμή αποκρυπτογράφησης.
Οι πληγείσες οργανώσεις περιλαμβάνουν ρωσικά πρακτορεία ειδήσεων, όπως το Interfax και το Fontanka, συστήματα πληρωμών για το μετρό του Κιέβου, το Διεθνές Αεροδρόμιο της Οδησσού και το Υπουργείο Υποδομών της Ουκρανίας.
Ακόμη και αυτή τη στιγμή εξακολουθούμε να αναλύουμε το Bad Rabbit ransomware για να ελέγξουμε αν υπάρχει ένας τρόπος για να αποκρυπτογραφήσετε τους υπολογιστές χωρίς να πληρώσετε το ransomware και πώς να το σταματήσετε από την περαιτέρω εξάπλωση.
Πώς να προστατεύσετε τον εαυτό σας από επιθέσεις Ransomware;
Η Audax Cybersecurity προτείνει να απενεργοποιήσετε την υπηρεσία WMI για να αποτρέψετε τη διάδοση του κακόβουλου λογισμικού μέσω του δικτύου σας.
Τα περισσότερα ransomware διαδίδονται μέσω μηνυμάτων ηλεκτρονικού «ψαρέματος», κακόβουλων διαφημίσεων σε ιστότοπους και εφαρμογών και προγραμμάτων τρίτων κατασκευαστών.
Επομένως, θα πρέπει πάντα να είστε προσεκτικοί κατά το άνοιγμα απροσδιόριστων εγγράφων που αποστέλλονται μέσω ηλεκτρονικού ταχυδρομείου και κάνοντας κλικ σε συνδέσμους μέσα σε αυτά τα έγγραφα, εκτός εάν επαληθεύσετε την πηγή.
Επίσης, μην κάνετε λήψη οποιασδήποτε εφαρμογής από πηγές που δεν γνωρίζετε και διαβάστε τις κριτικές ακόμα και πριν εγκαταστήσετε εφαρμογές από επίσημα καταστήματα.
Για να έχετε πάντα ασφαλή τα πολύτιμα δεδομένα σας, κρατήστε μια καλή ρουτίνα δημιουργίας αντιγράφων ασφαλείας σε μια εξωτερική συσκευή αποθήκευσης που δεν είναι πάντα συνδεδεμένη με τον υπολογιστή σας.
Βεβαιωθείτε ότι έχετε τρέξει μια καλή και αποτελεσματική σουίτα ασφαλείας για ιούς στο σύστημά σας και ότι θα τη διατηρείτε ενημερωμένη.
Για επικοινωνία με την Audax Cybersecurity στο τηλέφωνο 210.9839367 και στο info@audax.gr
