Ένα νέο κύμα ransomware, το Bad Rabbit, ξεκίνησε χτες, το οποίο φαίνεται ότι είχε ως στόχο αρκετές επιχειρήσεις και οργανισμού στη Ρωσία και στην Ανατολική Ευρώπη.
Το Bad Rabbit αποτελεί την τρίτη μεγάλη επίθεση ransomware ύστερα από τις επιθέσεις WannaCry και NotPetya.
Θύματα της πρόσφατης επίθεσης έχουν «πέσει» και υπολογιστές σε Γερμανία και Τουρκία, ενώ σύμφωνα με την Avast, εντοπίστηκε κακόβουλο λογισμικό σε Πολωνία και Νότια Κορέα.
Ανάμεσα στους οργανισμούς που επιβεβαίωσαν ότι έπεσαν θύματα της επίθεσης είναι τουλάχιστον τρία ρώσικα ΜΜΕ, το ειδησεογραφικό πρακτορείο Interfax, το Διεθνές Αεροδρόμιο της Οδησσού και το μετρό του Κιέβου.
Μέχρι στιγμής, οι προσβεβλημένοι οργανισμοί υπολογίζονται σε περίπου 200. Παρόλο που η επίθεση δεν είναι του βεληνεκούς των WannaCry και Petya, φαίνεται να έχει προκαλέσει αρκετά προβλήματα στους οργανισμούς.
Τα θύματα μόλις ανοίξουν τον υπολογιστή τους ανακατευθύνονται σε μια σελίδα Tor όπου βλέπουν ένα χρονόμετρο αντίστροφης μέτρησης και καλούνται να πληρώσουν περίπου 285 δολάρια σε bitcoin μέσα σε 40 ώρες. Όσοι δεν πληρώσουν το αντίτιμο εντός των 40 ωρών, λέγεται ότι θα χρειαστεί να πληρώσουν περισσότερα.
Απ’ότι φαίνεται, η επίθεση χρησιμοποιεί παρόμοια στοιχεία με την επίθεση NotPetya και συμφωνά με τους αναλυτές της Crowdstrike, το DLL (dynamic link library) των Bad Rabbit και NotPetya μοιράζονται το 67% του κώδικά τους.
Ο τρόπος μετάδοσής του φαίνεται ότι είναι μέσω μιας ψεύτικης αναβάθμισης του Flash, από μολυσμένους ιστότοπους ή μεταφορτώσεις. Μάλιστα, ορισμένοι ιστότοποι φαίνεται ότι είναι μολυσμένοι από τον Ιούνιο.
Οι περισσότεροι από αυτούς τους μολυσμένους ιστότοπους βρίσκονται κυρίως σε Ρωσία, Βουλγαρία και Τουρκία.
Σε αντίθεση όμως με άλλες επιθέσεις, φαίνεται ότι έχει συγκεκριμένους στόχους και δεν μεταδίδεται σε όλους τους δυνατούς στόχους αδιακρίτως.
Σύμφωνα με τους ερευνητές της ESET, ο κώδικας φαίνεται να αναφέρει ότι αν κάποιος επισκέπτης φανεί ότι έχει ενδιαφέρον -δηλαδή είναι καλός στόχος για επίθεση- τότε γίνεται η προσθήκη του επίμαχου περιεχομένου.
Ακόμη δεν είναι γνωστό το ποιος κρύβεται πίσω από την επίθεση και γιατί επιτίθεται σε οργανισμούς σε Ρωσία και Ουκρανία. Συνήθως όμως, οι οργανισμοί που ξεκινάνε από τη Ρωσία, αποφεύγουν τη χώρα τους, οπότε είναι πολύ πιθανό να μην είναι Ρώσοι χάκερς.
Παρόλα αυτά, φαίνεται ότι όποιος βρίσκεται από πίσω είναι οπαδός (ή οπαδοί) του Game of Thrones, καθώς ο κώδικας περιλαμβάνει αναφορές στον Viserion, τον Drogon και τον Rhaegal, τους δράκους στη γνωστή τηλεοπτική σειρά.
Αρκετές εταιρείες ασφαλείας δηλώνουν ότι τα προϊόντα τους προστατεύουν από το Bad Rabbit, αλλά η Kaspersky Lab αναφέρει ότι οι χρήστες μπορούν να μπλοκάρουν την εκτέλεση του αρχείου ‘c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.’ για να εμποδίσουν την μόλυνση.
ΣΥΖΗΤΗΣΗ