Νέα

Bad Rabbit: Νέο κύμα κυβερνοεπιθέσεων με βελτιωμένες λειτουργίες

securitvir

Στο μικροσκόπιο των αρμόδιων Αρχών και των εταιρειών του κλάδου της ψηφιακής ασφάλειας βρίσκεται το νέο κύμα κυβερνοεπιθέσεων Bad Rabbit, που έχει επιτεθεί σε εκατοντάδες οργανισμούς και επιχειρήσεις, παγκοσμίως. Σύμφωνα με τις έρευνες, το νέο κύμα πιθανά οφείλεται στο Diskcoder.D, μία νέα παραλλαγή του ransomware Petya.

Οι ερευνητές διαπίστωσαν ότι η ransomware επίθεση έχει σαφείς δεσμούς με την επίθεση “ExPetr” που έλαβε χώρα φέτος τον ΙούνιοΗ ESEΤ, για παράδειγμα, γνωστοποίησε ότι έχει εντοπίσει εκατοντάδες κρούσματα του Diskcoder.D, με τις περισσότερες ανιχνεύσεις να εντοπίζονται στη Ρωσία (65%) και την Ουκρανία (12,2%). Ωστόσο, σύμφωνα με την εταιρεία, υπάρχουν, επίσης, αναφορές με παραβιασμένα υπολογιστικά συστήματα σε Βουλγαρία (10,2%), Τουρκία (6,4%), Ιαπωνία (3,8%) και άλλες χώρες. Το Bad Rabbit χρησιμοποιεί, μεταξύ άλλων, τη μέθοδο drive-by download για την εξάπλωσή του. Σύμφωνα δε με τις έρευνες, σε δημοφιλείς ιστότοπους που παραβιάστηκαν, βρέθηκε ότι είχε εισαχθεί κώδικας JavaScript στις HTML σελίδες. Στόχος των κυβερνοεγκληματιών είναι να εξαπατήσουν το χρήστη να εγκαταστήσει μία ενημέρωση του Flash Player, η οποία τελικά κλειδώνει τον υπολογιστή, για να του ζητήσουν λύτρα.

Αλγόριθμος
Στο μεταξύ, σύμφωνα με την ανάλυση των ειδικών της Kaspersky Lab, ο αλγόριθμος κατακερματισμού, που χρησιμοποιήθηκε στην επίθεση Bad Rabbit, είναι παρόμοιος με αυτόν που χρησιμοποιήθηκε στην “ExPetr”. Επιπλέον, οι ειδικοί διαπίστωσαν ότι και οι δύο επιθέσεις χρησιμοποιούν τα ίδια domains και οι ομοιότητες στους αντίστοιχους πηγαίους κώδικες δείχνουν ότι η νέα επίθεση συνδέεται με τους δημιουργούς του “ExPetr”. Όπως το “ExPetr”, το “Bad Rabbit” προσπαθεί να αποσπάσει τα στοιχεία σύνδεσης από τη μνήμη του συστήματος και να εξαπλωθεί μέσα στο εταιρικό δίκτυο μέσω WMIC. Ωστόσο, οι ερευνητές δεν εντόπισαν ούτε το EternalBlue, ούτε το EternalRomance exploit, στην επίθεση “Bad Rabbit”. Και τα δύο χρησιμοποιήθηκαν στην “ExPetr”.

Η έρευνα δείχνει ότι οι επιτιθέμενοι πίσω απ’ αυτήν την επιχείρηση προετοιμάζονταν γι' αυτήν τουλάχιστον από τον Ιούλιο του 2017, δημιουργώντας το δίκτυο “μόλυνσης” τους σε παραβιασμένους ιστότοπους, οι οποίοι είναι, κυρίως, μέσα ενημέρωσης και ειδησεογραφικές πηγές.

Σύμφωνα με την έρευνα της Kaspersky Lab, το “Bad Rabbit” έπληξε σχεδόν 200 στόχους, που βρίσκονται στη Ρωσία, την Ουκρανία, την Τουρκία και τη Γερμανία. Όλες οι επιθέσεις πραγματοποιήθηκαν στις 24 Οκτωβρίου κι από τότε δεν εντοπίστηκαν νέες επιθέσεις. Οι ερευνητές σημειώνουν ότι από τη στιγμή που η “μόλυνση” έγινε πιο διαδεδομένη και οι εταιρείες ασφάλειας άρχισαν να ερευνούν, οι επιτιθέμενοι άφησαν αμέσως τον κακόβουλο κώδικα που είχαν προσθέσει στους ιστότοπους που είχαν προσβληθεί.

ΔΙΑΒΑΣΤΕ ΑΚΟΜΗ