Marknadsföring, Sökmotoroptimering, Design & Utveckling

Bad Rabbit – nytt allvarligt ransomware

bad rabbit ransomwareEtt nytt allvarligt ransomware sprids just nu över världen. Den skadliga koden, som uppges vara en vidareutveckling av tidigare uppmärksammade NotPetya, kallas Bad Rabbit och började för några dagar sedan infektera ett antal organisationer i Ryssland och Ukraina, men har nu spridit sig till USA och flera länder i Europa.

I Ryssland har bland annat tre nyhetssajter drabbats och i Ukraina tvingades Odessa International Airport ta till vad man kallar ”utökade säkerhetsåtgärder” efter att ha angripits av Bad Rabbit. Även organisationer i USA, Danmark, Tyskland och Turkiet uppges ha drabbats.

Bad Rabbit infekterar sina offers maskiner genom att gömma sig i falska uppdateringsfiler för insticksprogrammet Adobe Flash Player. Offren luras att installera en uppdatering från en förfalskad Adobe-hemsida (koden är injicerad i Javascript som körs på infekterade webbplatser). Efter att användaren klickat på länken infekteras maskinen, filerna blir låsta och ett utpressningsmeddelande visas och kräver cirka 280 dollar i Bitcoins med en tidsfrist på 40 timmar för när betalningen ska utföras.

Sprids enkelt i nätverket

Bad Rabbit är alltså ytterligare en stor ransomware-epidemi som slår globalt i år, och likt Wannacry och Petya/NotPetya kan Bad Rabbit, efter att ha infekterat en maskin i ett nätverk, hitta alla lagrade inloggningsuppgifter på maskinen och sprida sig vidare till andra maskiner i nätverket. Det krävs alltså ingen ytterligare användarinteraktion för att den ska få fäste i ett nätverk.

Själva krypteringen använder DiskCryptor, en öppen källkod-baserad och fullt legitim programvara som används för fullständig enhetskryptering. Nycklar genereras med CryptGenRandom och skyddas sedan av en hårdkodad publik RSA 2048-nyckel.

bad rabbit screen

Säkerhetsforskare på Malwarebytes som analyserat Bad Rabbit påpekar att detta ransomware förvisso utnyttjar Server Message Block-funktionen (SMB), vilket också görs av NotPetya, men att Bad Rabbit inte använder den beryktade Eternal Blue-sårbarheten i Windows. Malwarebytes menar ändå att Bad Rabbit ”förmodligen är skapat av samma programmerare” som NotPetya. En analys som gjorts av forskare från Crowdstrike visar också att Bad Rabbit och NotPetyas DLL (dynamiska länkbibliotek) delar 67 procent av samma kod, vilket ytterligare indikerar att de två ransomware-varianterna är nära besläktade.

Det bör också tilläggas att skaparen/skaparna av NotPetya, som spreds över världen i juni i år, ännu inte har identifierats. Dock menar många säkerhetsforskare att med tanke på att Bad Rabbit-attacken startade i Ryssland och Ukraina skulle det kunna peka på att angriparen inte är rysk – i de allra flesta fall undviker ryska hackare att initiera attacker i hemlandet, även om de i ett senare skede kan spridas dit.

Oavsett vem som ligger bakom Bad Rabbit, tycks de ha kollat på tv-serien Game of Thrones. Den skadliga koden innehåller nämligen referenser till Viserion, Drogon och Rhaegal – Daenerys Targaryens tre drakar från tv-serien och böckerna.

Relativt enkelt att skydda sig

Så till det viktigaste, hur skyddar du dig från att drabbas om eller när Bad rabbit fortsätter spridas till nya mål världen över? Först och främst, i skrivande stund är det oklart om det är möjligt att dekryptera låsta filer när du väl har drabbats, och det är också oklart om det hjälper att betala den utkrävda lösensumman. Även om utpressaren lovar att så kommer ske, har det varit lite si och så med detta i tidigare ransomware-kampanjer. Säkerhetsforskare uppmanar också drabbade att inte betala, eftersom det bara kommer att uppmuntra tillväxten av ransomware.

Ett antal säkerhetsleverantörer säger att deras produkter skyddar mot Bad Rabbit, och andra har skickat ut automatiska patchar. Men för dig som omedelbart vill försäkra dig om att inte drabbas kan du blockera körningen av filerna:

C: windows infpub.dat
C: windows cscc.dat

I övrigt gäller som vanligt de grundläggande råden att alltid installera de senaste säkerhetsprogramvarorna, säkerhetskopiera data genom goda backup-rutiner och använda rätt antivirusprogramvara. Se också till att lösenord aldrig återanvänds på viktiga konton och konfigurera alltid om möjligt tvåfaktorsautentisering i säkerhetsinställningarna. Och, klicka för tusan inte på länkar du inte litar på!

Den här artikeln är skriven utav Binero och hämtad från: Klicka här för att gå till orginal