Dårlig kanin

Bad Rabbit ( russisk for "Bad Rabbit" ) er en ransomware -virus udviklet til Windows -familien af ​​operativsystemer og opdaget den 24. oktober 2017 [1] . Ifølge analytikere har programmet ligheden mellem individuelle fragmenter og NotPetya -virussen .

Ifølge Symantec har virussen et lavt trusselsniveau [2] . Den 25. oktober blev serverne, der gav den første infektion af Bad Rabbit, stoppet [3] .

Historie

Den 24. oktober 2017 angreb en ransomware-virus en række russiske medier , herunder nyhedsbureauet Interfax og onlineavisen Fontanka , samt Kiev-metroen og Odessa-lufthavnen , og krævede 0,05 bitcoins (ca. 16 tusind rubler) for at låse en computer op. i 48 timer [4] [5] [6] . Også i mindre omfang blev Tyrkiet og Tyskland angrebet [7] [8] . Gendannelse af hjemmesiden og Interfax-computere tog mere end en dag [9] [10] . Samtidig blev der fundet referencer til fantasy-sagaen " Game of Thrones " i virussen, nemlig navnene på tre drager - Drogon, Rhaegal og Viserion [11] [12] [13] [14] .

Angrebsmetode

Til den indledende installation bruger virussen ikke nogen udnyttelser eller sårbarheder: virusinstallationsprogrammet, der forklæder sig som en opdatering til Adobe Flash Player , skal downloades og køres manuelt af brugeren, det beder om bekræftelse af tilladelseshøjde via Windows UAC [15] .

Efter installationen registrerer applikationen sig med den almindelige opgaveplanlægningsmekanisme og starter selvudbredelse over det lokale netværk via fjern-SMB- og WMIC-forbindelser ved at opsnappe tokens og adgangskoder med Mimikatz -værktøjet og brute force NTLM-adgangskoder på fjerntliggende Windows-noder for en række almindelige brugernavne [15] . Ifølge Cisco Talos bruger virusudbredelseskomponenten desuden NSA "EternalRomance" teknologier og koder, som tidligere blev udgivet af Shadowbrokers -gruppen (fejl i SMB -koder , rettet af Microsoft i marts 2017) [16] [17] .

Applikationen krypterer filer ved hjælp af AES-128-CBC og RSA-2048 [1] algoritmerne .

I strid med GPLv3-licensen bruger Bad Rabbit koder og en driver fra DiskCryptor -projektet [15] [18] [19] , men udgiver ikke ændrede kildekoder eller beder brugeren om samtykke til at bruge GPLv3-licensen.

Se også

• WannaCry
• Petya

Noter

1. ↑ 1 2 Orkhan Mammadov, Fedor Sinitsyn, Anton Ivanov. Dårlig kanin ciffer . Kaspersky Lab (25. oktober 2017). Hentet 27. oktober 2017. Arkiveret fra originalen 27. oktober 2017. (ubestemt)
2. ↑ Benjamin Moench Ransom.BadRabbit. Tekniske detaljer Arkiveret den 27. oktober 2017 på Wayback Machine / Symantec Security Response
3. ↑ Lorenzo Franceschi-Bicchierai . Infrastruktur til 'Bad Rabbit' Ransomware ser ud til at have lukket ned  (engelsk) , Vice (25. oktober 2017). Arkiveret fra originalen den 26. oktober 2017. Hentet 27. oktober 2017.
4. ↑ Group-IB: Bad Rabbit ransomware angreb russiske medier . TASS (24. oktober 2017). Hentet 26. oktober 2017. Arkiveret fra originalen 26. oktober 2017. (ubestemt)
5. ↑ Ivan Gusev. Rusland blev angrebet af en ny ransomware-virus "Bad Rabbit" . Livet (24. oktober 2017). Hentet 26. oktober 2017. Arkiveret fra originalen 26. oktober 2017. (ubestemt)
6. ↑ Polina Dukhanova. "Ikke de mest læsefærdige hackere": hvad ligger bag cyberangrebene på russiske medier . RT (24. oktober 2017). Hentet 26. oktober 2017. Arkiveret fra originalen 26. oktober 2017. (ubestemt)
7. ↑ Alexey Sharoglazov. Ofre for Bad Rabbit ransomware angreb navngivet . Izvestia (24. oktober 2017). Hentet 26. oktober 2017. Arkiveret fra originalen 25. oktober 2017. (ubestemt)
8. ↑ Ransomware angreb ofre gennem mediesider . Vesti.net (25. oktober 2017). Hentet 28. december 2017. Arkiveret fra originalen 27. december 2017. (ubestemt)
9. ↑ Kristina Zhukova. Arbejdet i medierne, der er ramt af Bad Rabbit-virussen, er blevet genoprettet . Kommersant (25. oktober 2017). Hentet 26. oktober 2017. Arkiveret fra originalen 26. oktober 2017. (ubestemt)
10. ↑ 'Bad Rabbit ' ransomware rammer Ukraine og Rusland  . BBC News (26. oktober 2017). Hentet 27. oktober 2017. Arkiveret fra originalen 6. januar 2021.
11. ↑ Eksperter har afsløret sammenhængen mellem Bad Rabbit-virussen og "Game of Thrones" . Lenta.ru (25. oktober 2017). Hentet 26. oktober 2017. Arkiveret fra originalen 9. juni 2021. (ubestemt)
12. ↑ Roman Bosikov. Eksperter har fundet en forbindelse mellem Bad Rabbit-virussen og Game of Thrones . Livet (25. oktober 2017). Hentet 26. oktober 2017. Arkiveret fra originalen 26. oktober 2017. (ubestemt)
13. ↑ I "Bad Rabbit"-virussen, der ramte de russiske medier, fandt eksperter referencer til "Game of Thrones" . Kanal Fem (26. oktober 2017). Dato for adgang: 26. oktober 2017. (ubestemt)
14. ↑ Bad Rabbit ransomware skabt af Game of Thrones-fans . CHIP (26. oktober 2017). Hentet 26. oktober 2017. Arkiveret fra originalen 26. oktober 2017. (ubestemt)
15. ↑ 1 2 3 Sådan fungerer Bad Rabbit ransomware, og er der et link til NotPetya her . Hentet 26. oktober 2017. Arkiveret fra originalen 26. oktober 2017. (ubestemt)
16. ↑ NICK BIASINI. Threat Spotlight : Følg den dårlige kanin  . Talos Intelligence (24. OKTOBER 2017). Hentet 27. oktober 2017. Arkiveret fra originalen 27. oktober 2017.
17. ↑ SEAN GALLAGHER . Bad Rabbit brugte NSA "EternalRomance" udnyttelse til at sprede, siger forskere  (engelsk) , ARS Technica (26. OKT 2017). Arkiveret fra originalen den 26. oktober 2017. Hentet 27. oktober 2017.
18. ↑ Ny bølge af datakryptering af malware rammer Rusland og Ukraine Arkiveret 26. oktober 2017 på Wayback Machine 
19. ↑ Kevin Beaumont på Twitter: "#BadRabbit bruger et lovligt, signeret program kaldet DiskCryptor til at låse offerets harddisk ude." . Hentet 26. oktober 2017. Arkiveret fra originalen 1. december 2017. (ubestemt)