Bad Rabbit - o nouă campanie ransomware
În data de 24 octombrie 2017, mai multe companii de securitate cibernetică au observat o nouă campanie de ransomware ce se propagă în Europa de Est și Rusia. Deși această campanie pare să fie înrudită cu ransomware-ul Petya, Bad Rabbit se distinge de cealaltă variantă prin mijloacele de distribuție ale malware-ului și o mare parte din cod.
UPDATE 31.10.2017: Conform raportului realizat de compania de securitate Cisco Talos, exploit-ul utilizat de ransomware pentru propagarea în rețeaua victimelor este EternalRomance, și nu EternalBlue. Această tehnică de propagare exploatează vulnerabilitățile adresate în buletinul de securitate MS17-010 realizat de compania Microsoft și a fost utilizată și în campania recentă NotPetya. De asemenea, pe baza modului de operare și asemănărilor privind tehnicile de evaziune, cercetătorii Cisco au conchis că autorii celor două campanii de ransomware sunt cel mai probabil aceiași.
Totodată, cercetătorii companiei ESET au corelat campania NotPetya cu gruparea de spionaj cibernetic TeleBots, responsabilă pentru mai multe campanii APT desfășurate în ultimii ani precum Sandworm, BlackEnergy, Electrum etc.
UPDATE 27.10.2017: Mai multe surse din industrie subliniază că majoritatea serverelor implicate în campanie au fost stopate să răspândească malware. Aparent, atacatorii ar fi dezafectat infrastructura la doar o zi după debutul campaniei. (blog.barkly.com)
Descriere
Conform mai multor surse din mediul online, principala metodă de distribuție a Bad Rabbit o reprezintă site-urile de tip watering-hole de pe care este descărcat malware-ul, sub pretextul unui update de Adobe Flash. Astfel, site-uri cunoscute sunt compromise, iar un javascript introdus în pagină afișează o fereastră de tip pop-up. Mesajul afișat solicită utilizatorului să descarce și să instaleze un update de Adobe Flash, pentru a continua să vizualizeze conținutul paginii. Odată instalat, malware-ul criptează fișierele cu una dintre extensiile hardcodate (vezi secțiunea impact).
Este de menționat faptul că malware-ul nu folosește niciun tip de exploit, ci se bazează pe interacțiunea utilizatorului, care trebuie să execute fișierul executabil descărcat (install_flash_player.exe).
Totodată, Bad Rabbit are o componentă de mișcare laterală, ce vizează share-urile SMB din rețea. Aceasta utilizează exploit-ul EternalRomance (MS17-010), o listă de combinații user/parolă hardcodate, precum și o versiune de mimikatz.
După instalare, malware-ul își asigură persistența prin crearea unor Scheduled Tasks, cu numele dragonilor din binecunoscutul serial 'Game of Thrones'. De asemenea, modifică MBR-ul pentru a afișa mesajul de răscumpărare, la repornirea calculatorului.
Impact
Odată infectată o stație de lucru, virusul încearcă răspândirea laterală în rețea și înlocuiește codul din zona MBR a discului de stocare cu o formă proprietară, ce afișează mesajul de răscumpărare (ransom note), apoi repornește sistemul.
Acest comportament aduce o caracteristică nouă față de alte versiuni de ransomware, în sensul că, adițional criptării fișierelor, se blochează inclusiv accesul la sistemul infectat.
Virusul criptează următoarele tipuri de fișiere (după extensie):
.3ds .7z . accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
Pentru criptarea datelor, malware-ul utilizează utilitarul legitim DiskCryptor.
Suma solicitată de atacatori pentru recuperarea accesului la sistemul afectat și la fișiere este echivalentul a 300 de dolari în moneda virtuală Bitcoin.
UPDATE 26.10.2017
Până acum, infecțiile s-au concentrat pe zona estică a Europei și Rusia. Una dintre primele victime care a anunțat faptul că a fost afectată de campania BadRabbit a fost trustul de presă Interfax din Rusia. De asemenea, firma de securitate Group-IB a susținut că mai multe organizații media din Rusia ar fi avut de suferit.
În plus, pe lista celoir afectați de campanie se adaugă instituții și organizații din Ucraina, inclusiv aeroportul din Odessa, sistemul de transport din Kiev și Ministerul Infrastructurii.
Conform companiei ESET, distribuția globală a infecțiilor este următoarea: Rusia (65%), Ucraina (12.2%), Bulgaria (10.2%), Turcia (6.4%), Japonia (3,8%) iar alte țări (2,4%).
Indicatori de compromitere
Hashuri (SHA256)
UUID
e50fef78-b949-11e7-841b-0050568e34e1
59ef5e25-eec0-4008-88b4-5a520a2b115a
59f0184a-9158-4f72-8ebe-6a8cac130004
e74b474f-b981-11e7-841b-0050568e34e1
85ef8d6a-ba4a-11e7-841b-0050568e34e1
Dropper:
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
Payload:
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 C:\Windows\dispci.exe (diskcryptor client)
682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806 C:\Windows\cscc.dat (x32 diskcryptor drv)
0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 C:\Windows\cscc.dat (x64 diskcryptor drv)
579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648 C:\Windows\infpub.dat
2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035 (mimikatz-like x86)
301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c (mimikat-like x64)
Nume de Scheduled Tasks
viserion_
rhaegal
drogon
Servere infrastructură
1dnscontrol[.]com
185.149.120[.]3
Site-uri wateringhole:
hxxp://argumentiru[.]com
hxxp://www.fontanka[.]ru
hxxp://grupovo[.]bg
hxxp://www.sinematurk[.]com
hxxp://www.aica.co[.]jp
hxxp://spbvoditel[.]ru
hxxp://argumenti[.]ru
hxxp://www.mediaport[.]ua
hxxp://blog.fontanka[.]ru
hxxp://an-crimea[.]ru
hxxp://www.t.ks[.]ua
hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
hxxp://www.otbrana[.]com
hxxp://calendar.fontanka[.]ru
hxxp://www.grupovo[.]bg
hxxp://www.pensionhotel[.]cz
hxxp://www.online812[.]ru
hxxp://www.imer[.]ro
hxxp://novayagazeta.spb[.]ru
hxxp://i24.com[.]ua
hxxp://bg.pensionhotel[.]com
hxxp://ankerch-crimea[.]ru
Site-uri wateringhole (UPDATE 26.10.2017)
|
Injection server |
Compromised website |
Prima detecție |
Cea mai recentă detecție |
|
185.149.120.3 |
aica.co.jp |
2017-10-12 |
2017-10-19 |
|
www.dermavieskin.com |
2017-10-21 |
2017-10-21 |
|
|
grupovo.bg |
2017-10-09 |
2017-10-23 |
|
|
www.fitnes-trener.com.ua |
2017-10-23 |
2017-10-23 |
|
|
www.afaceri-poligrafice.ro |
2017-10-23 |
2017-10-23 |
|
|
grandua.ua |
2017-10-20 |
2017-10-23 |
|
|
i24.com.ua |
2017-10-21 |
2017-10-23 |
|
|
scanstockphoto.com |
2017-10-09 |
2017-10-16 |
|
|
izgodni.bg |
2017-10-13 |
2017-10-23 |
|
|
www.biotechusa.ru |
2017-10-21 |
2017-10-21 |
|
|
www.mediaport.ua |
2017-10-21 |
2017-10-21 |
|
|
www.armoniacenter.com |
2017-10-23 |
2017-10-23 |
|
|
172.97.69.79 |
sweet-home.dn.ua |
2017-08-08 |
2017-08-08 |
|
www.chnu.edu.ua |
2017-05-31 |
2017-05-31 |
|
|
fitnes-trener.com.ua |
2017-09-25 |
2017-09-25 |
|
|
www.t.ks.ua |
2017-05-31 |
2017-10-19 |
|
|
www.fastfwd.ru |
2017-08-09 |
2017-08-09 |
|
|
www.uscc.ua |
2017-07-14 |
2017-08-29 |
|
|
bitte.net.ua |
2017-05-31 |
2017-10-19 |
|
|
www.fitnes-trener.com.ua |
2017-07-07 |
2017-09-25 |
|
|
ophthalmolog.kiev.ua |
2017-06-11 |
2017-06-11 |
|
|
grandua.ua |
2017-05-26 |
2017-10-23 |
|
|
i24.com.ua |
2017-06-01 |
2017-10-23 |
|
|
akvadom.kiev.ua |
2017-06-02 |
2017-09-03 |
|
|
ulianarudich.com.ua |
2017-06-02 |
2017-10-11 |
|
|
football.zp.ua |
2017-08-09 |
2017-08-09 |
|
|
www.mediaport.ua |
2017-06-01 |
2017-08-05 |
|
|
chnu.edu.ua |
2017-05-31 |
2017-07-13 |
|
|
evroremont.kharkov.ua |
2017-05-31 |
2017-10-19 |
|
|
thecovershop.pl |
2017-06-02 |
2017-10-15 |
|
|
www.tofisa.com |
2017-04-07 |
2017-04-11 |
|
|
cream-dream.com.ua |
2017-06-22 |
2017-10-18 |
|
|
go2odessa.ru |
2017-07-?? |
2017-07-?? |
|
|
bahmut.com.ua |
2017-06-?? |
2017-06-?? |
|
|
91.236.116.50 |
abantyoreselurunler.com |
2017-05-18 |
2017-05-18 |
|
aldingareefretreat.com |
2017-06-10 |
2017-06-10 |
|
|
ftp9.net |
2017-07-06 |
2017-07-06 |
|
|
magicofis.com |
2017-05-27 |
2017-05-27 |
|
|
piiz.tk |
2017-08-17 |
2017-08-22 |
|
|
tedizmir.k12.tr |
2017-05-31 |
2017-06-29 |
|
|
websgramly.com |
2017-04-18 |
2017-05-22 |
|
|
www.andronova.net |
2017-03-30 |
2017-04-07 |
|
|
www.detaymaxinet.com |
2017-05-13 |
2017-05-13 |
|
|
www.fikracenneti.com |
2017-04-02 |
2017-07-14 |
|
|
www.gulenturizm.com.tr |
2017-04-06 |
2017-04-11 |
|
|
www.ilgihastanesi.com |
2017-05-02 |
2017-08-13 |
|
|
www.komedibahane.com |
2017-03-29 |
2017-04-05 |
|
|
www.moonlightcinemaclub.com |
2017-09-28 |
2017-09-28 |
|
|
www.musterihizmetlerinumarasi.com |
2017-04-24 |
2017-04-24 |
|
|
www.techkafa.net |
2017-04-03 |
2017-04-17 |
|
|
www.teknolojihaber.net |
2017-04-02 |
2017-04-10 |
|
|
www.vertizontal.ro |
2017-05-17 |
2017-05-17 |
|
|
38.84.134.15 |
izgodni.bg |
2016-09-29 |
2016-09-29 |
|
montenegro-today.com |
2016-11-25 |
2017-10-22 |
|
|
scanstockphoto.com |
2016-12-09 |
2017-01-06 |
|
|
www.grupovo.bg |
2016-09-29 |
2016-10-14 |
|
|
www.matasedita.sk |
2016-10-19 |
2017-05-04 |
|
|
www.montenegro-today.com |
2017-05-20 |
2017-05-20 |
|
|
www.myk104.com |
2016-09-08 |
2016-12-03 |
|
|
www.nadupanyfanusik.sk |
2016-09-28 |
2016-09-28 |
|
|
www.otbrana.com |
2016-12-16 |
2017-03-07 |
|
|
www.sinematurk.com |
2016-10-09 |
2016-10-09 |
|
|
www.ucarsoft.com |
2016-11-02 |
2017-06-29 |
UPDATE 27.10.2017
Lista provizorie a site-urilor din România, care au fost compromise pentru a redirecta utilizatorii către serverul de pe care se putea descărca malware-ul de tip ransomware, a crescut la 48.
academicnet.ro
ace-economiesociala.ro
activedoctors.org
adlibri.ro
adrianadanaila.com
adventistbruxelles.org
aetm.ro
afaceri-poligrafice.ro
alegedorna.ro
alinabercu.com
amenajari-locuinte.ro
amicos.ro
ampgrup.ro
andra-cretu.com
andreevents.ro
anvelopeiarna-autocenter.ro
anvelope-service.ro
anvelopevara-autocenter.ro
apimond.ro
aquamundus.ro
aquariusconsult.com
archivumka.ro
armoniacenter.com
artbodyspa.ro
arvar.ro
asatm.ro
aspirelo.ro
athenee-palace.ro
atv-funtrans.ro
avocatiinbraila.ro
avocatiinbrasov.ro
avocatiinbucuresti.ro
axiautoonline.ro
axiservice.ro
http://balcoane.ro
bbooster.ro
bcarhitectura.ro
birou-avocatura.com
bizo.ro
bizzzarttattoo.ro
brixongroup.ro
btfprotect.ro
memorialulrevolutiei.ro
sosta.ro
stas2015.ro
toppromotions.ro
Site răscumpărare:
caforssztxqzf2nm[.]onion
Recomandări:
CERT-RO îndeamnă toți utilizatorii să-și actualizeze cât mai urgent sistemele de operare și aplicațiile și să implementeze următoarele măsuri:
- Utilizarea unui produs antivirus/antimalware modern și actualizat cu ultimele semnături;
- Actualizarea la zi a sistemului de operare și aplicațiilor instalate;
- Dezactivarea protocolului SMB, dacă nu este necesar;
- Dezactivarea WMI, dacă nu este necesar;
- Utilizarea unei unelte de protejare împotriva modificării neautorizate a MBR, precum cea oferită de Talos: https://www.talosintelligence.com/mbrfilter;
- Blocarea execuției fișierelor C:\windows\infpub.dat și c:\windows\cscc.dat
- Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte;
- Realizarea periodică a unor copii de siguranță (backup) pentru datele importante, folosind extensii non-standard;
- Implementarea măsurilor din „Ghidul privind combaterea amenințărilor de tip ransomware” elaborat de CERT-RO și disponibil la adresa: https://cert.ro/vezi/document/ghid-protectie-ransomware.
Surse
https://blog.barkly.com/what-is-badrabbit-ransomware-faq
http://blog.talosintelligence.com/2017/10/bad-rabbit.html
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
https://www.theregister.co.uk/2017/10/24/badrabbit_ransomware
https://www.riskiq.com/blog/labs/badrabbit/
Postat în: alerte ransomware alerte bad rabbit
Vizualizat de 10448 ori
