Το BadRabbit ransomware εξαπλώνεται σαν τυφώνας, μολύνοντας συσκευές

Το BadRabbit ransomware εξαπλώνεται σαν τυφώνας, μολύνοντας συσκευές, υπολογιστές και συστήματα σε ολόκληρη την Ευρώπη, την Ουκρανία και τη Ρωσία.

Τα δίκτυα υπολογιστών πολλών οργανισμών στην Ουκρανία, τη Ρωσία και τη Γερμανία έχουν επηρεαστεί από μια εκτεταμένη εκδήλωση κακόβουλου λογισμικού, αναφέρουν αξιόπιστες εκθέσεις που ασχολούνται με το ζήτημα.

Σύμφωνα με πολλούς εταιρίες στον τομέα της ασφάλειας του κυβερνοχώρου,ο εξαιρετικά επικίνδυνος μεταδιδόμενος ιός αποκαλείται BadRabbit και είναι μια μορφή ransomware που κλειδώνει κλειδώνει τις συσκευές και απαιτεί bitcoin από τους διαχειριστές για να τις ξεκλειδώσουν.

Τα στιγμιότυπα από τις μολύνσεις του ransomware που δημοσιεύθηκαν στα κοινωνικά δίκτυα έδειξαν ότι το BadRabbit ζητούσε λύτρα αξίας 0.05 Bitcoin για να τους απελευθερώσει από αυτόν τον ιό, που ισοδυναμεί με 280 δολάρια.

Οι εκθέσεις δείχνουν ότι ο σταθμός του μετρό Κίεβο, το ναυτικό λιμάνι της Οδησσού και το αεροδρόμιο της Οδησσού είχαν μολυνθεί τα συστήματά τους με σοβαρές συνέπειες. Δυο Ρωσικά ειδησεογραφικά γραφεία, το Interfax και η Fontanka , παρουσίασαν διακοπές λειτουργίας εξαιτίας αυτού του γεγονότος.

Στις 24 Οκτωβρίου 2017, η Interfax σε tweet δήλωσε: “Λόγω της επίθεσης των χάκερς οι διακομιστές Interfax τέθηκαν εκτός λειτουργίας. Οι τεχνικοί μας δουλεύουν σκληρά και έχουν πάρει όλα τα μέτρα για την αποκατάσταση των συστημάτων εργασίας μας. Παρόλο που η ιστοσελίδα της Interfax δεν είναι προσβάσιμη για το κοινό λόγω των επιθέσεων, θα δημοσιεύουμε τις ειδήσεις στο Facebook.

Η Eset, μια σλοβακική εταιρία που διαθέτει antivirus για τον κυβερνοχώρο , δήλωσε ότι η αρχική ανάλυση της έδειξε ότι το κακόβουλο λογισμικό ήταν το Diskcoder.D ή αλλιώς γνωστό ως ” Petya “. Η ίδια παραλλαγή ήταν υπεύθυνη για έναμεγάλο cyberattack τον Ιούνιο νωρίτερα φέτος, το οποίο τελικά εξαπλώθηκε σε όλο τον κόσμο.

Η εταιρεία ασφαλείας διαπίστωσε ότι οι μολύνσεις αυξάνονταν με ταχύ ρυθμό.

Η τηλεμετρία του ESET ανίχνευσε εκατοντάδες εμφανίσεις του Diskcoder .D, ανέφερε, προσθέτοντας: Οι περισσότερες ανιχνεύσεις βρίσκονται στη Ρωσία και την Ουκρανία, αλλά υπάρχουν επίσης αναφορές υπολογιστών στην Τουρκία, τη Βουλγαρία και άλλες χώρες.

«Σύμφωνα με τα προκαταρκτικά ευρήματά της ESET, το Diskcoder.D χρησιμοποιεί το Mimikatz εργαλείο για να εξάγει τα διαπιστευτήρια από τα πληγείσα συστήματα. Εκτός από αυτό, έχει επίσης μια μόνιμη λίστα εντολώνπου διευκολύνει περαιτέρω τη δουλειά τους».

Μια άλλη πασίγνωστη εταιρεία ασφαλείας, που εδρεύει στη Μόσχα και δραστηριοποιείται στο διαδίκτυο η εταιρεία Kaspersky Lab, δήλωσε ότι η πλειοψηφία των θυμάτων βρίσκονταν στη Ρωσία, αλλά τόνισε ότι η έρευνά ήταν ακόμη σε εξέλιξη.

Η Kaspersky Lab επισήμανε: Έχουμε δει παρόμοιες, αλλά λιγότερες επιθέσεις στην Ουκρανία, την Τουρκία και τη Γερμανία. Αυτό το ransomware έχει μολύνει τις συσκευές μέσω διαδικτυακών ιστότοπων από Ρωσικά μέσα μαζικής ενημέρωσης.

«Με βάση την έρευνά μας, αυτή είναι μια στοχευμένη επίθεση εναντίον εταιρικών δικτύων, χρησιμοποιώντας μεθόδους παρόμοιες με εκείνες της επίθεσης ExPetr. Ωστόσο, δεν μπορούμε να επιβεβαιώσουμε ότι έχει σχέση με το ExPetr . Συνεχίζουμε την έρευνά μας.» Η επιχείρηση παρότρυνε τα θύματα να μην πληρώσουν λύτρα.

Σε μια τεχνική συμβουλή , η Kaspersky περιέγραψε αργότερα το BadRabbit ως “μια άγνωστη οικογένεια ransomware” και δήλωσε ότι είχε εντοπίσει περίπου 200 στόχους – συμπεριλαμβανομένων των ειδησεογραφικών ιστοσελίδων.

Η αναφορά λέει: Το ransomware διανεμήθηκε με τη βοήθεια επιθέσεων με οδηγό. Ενώ ο στόχος επισκέπτεται έναν νόμιμο ιστότοπο, ο χρήστης εν αγνοία του κατεβάζει και εγκαθιστά ένα κακόβουλο πρόγραμμα από την υποδομή του φορέα απειλής. Συνέχισε να λέει ότι δεν χρησιμοποιήθηκαν exploits στο συγκεκριμένο cyberattack.

Η αρχική ανάλυση αποκάλυψε ότι ένα κακόβουλο πρόγραμμα εγκατάστασης Adobe Flash έπαιξε σημαντικό ρόλο στην εξάπλωση του BadRabbit ransomware.