Авторите на Bad Rabbit използвали експлойт на АНС
В началото на тази седмица съветската компания за осведомителна отбрана Group-IB и други сигнализираха за огромна рансъмуер акция, засегнала компании в Русия, Украйна и други страни, сред които и България (според Symantec, инфекциите в България са били повече от тези към Украйна). Става дума за офанзива, носеща белезите на огромната зараза с криптовируса NotPetya (Diskcoder, Petya, Petrwrap, exPetr или GoldenEye) от по-рано тази година, засегнала голям брой мрежи и системи по целия свят, главно в Украйна, само че също по този начин в Европа и Съединени американски щати. Този път става дума за надалеч по-ограничена акция, като точният брой на атакуваните системи не се загатва, само че става дума за стотици, а не хиляди.
Group-IB и другите компании не престават следствието си по случая и тези дни. Оказва се, че тази офанзива е била подготвяна месеци наред. Макар и измежду множеството прилики с NotPetya (пълно дисково криптиране и потреблението на Diskcrypt програмата, мрежовата командна инфраструктура, потреблението на откраднати цифрови сертификати) да не бе маркирано първоначално, излиза наяве, че сходно и на NotPetya, вирусът употребява експлойт на Агенцията за национална сигурност на Съединени американски щати (АНС) за задачите на разпространяването си в мрежата на задачите. Вместо EternalBlue обаче, този път бива употребен различен експлойт – EternalRomance, който се възползва от накърнимост в SMB протокола, която Microsoft запушиха през март. Атакуващата страна е компрометирала мрежови запаси и уеб страници за доставянето на подправено обновяване за Flash Player. Веднъж конфигурирана зловредната стратегия, тя употребява инструмент за кражба на аавторизационни данни, което разрешава разпространяването в мрежата, засягайки спомагателен брой компютри. За разлика от NotPetya обаче, където имаше един адрес за всички системи за заплащане на откупа, тук всеки компютър получава собствен ключ и портфейл, което прави разкриването на атакуващата страна мъчно. След криптирането на файловете, Bad Rabbit започва криптиране на MBR бранша, а след рестартиране на компютъра се появява и известие с искане за откуп, като декриптирането на информацията е невероятно без възнаграждение на желаната от нарушителите сума.
Според Group-IB, зловредната стратегия е компилирана от изходния код на NotPetya, а разпространителите на двете стратегии е една и съща формация, позната, като Black Energy, APT група, известна с офанзивите към укаринската енергопреносна мрежа от последните две години.
Group-IB и другите компании не престават следствието си по случая и тези дни. Оказва се, че тази офанзива е била подготвяна месеци наред. Макар и измежду множеството прилики с NotPetya (пълно дисково криптиране и потреблението на Diskcrypt програмата, мрежовата командна инфраструктура, потреблението на откраднати цифрови сертификати) да не бе маркирано първоначално, излиза наяве, че сходно и на NotPetya, вирусът употребява експлойт на Агенцията за национална сигурност на Съединени американски щати (АНС) за задачите на разпространяването си в мрежата на задачите. Вместо EternalBlue обаче, този път бива употребен различен експлойт – EternalRomance, който се възползва от накърнимост в SMB протокола, която Microsoft запушиха през март. Атакуващата страна е компрометирала мрежови запаси и уеб страници за доставянето на подправено обновяване за Flash Player. Веднъж конфигурирана зловредната стратегия, тя употребява инструмент за кражба на аавторизационни данни, което разрешава разпространяването в мрежата, засягайки спомагателен брой компютри. За разлика от NotPetya обаче, където имаше един адрес за всички системи за заплащане на откупа, тук всеки компютър получава собствен ключ и портфейл, което прави разкриването на атакуващата страна мъчно. След криптирането на файловете, Bad Rabbit започва криптиране на MBR бранша, а след рестартиране на компютъра се появява и известие с искане за откуп, като декриптирането на информацията е невероятно без възнаграждение на желаната от нарушителите сума.
Според Group-IB, зловредната стратегия е компилирана от изходния код на NotPetya, а разпространителите на двете стратегии е една и съща формация, позната, като Black Energy, APT група, известна с офанзивите към укаринската енергопреносна мрежа от последните две години.
Източник: kaldata.com
КОМЕНТАРИ