image

Oekraïne en Rusland getroffen door BadRabbit-ransomware

dinsdag 24 oktober 2017, 19:02 door Redactie, 13 reacties
Laatst bijgewerkt: 27-10-2017, 13:51

Organisaties in Oekraïne en Rusland zijn getroffen door een nieuw ransomware-exemplaar genaamd BadRabbit, wat een variant van de Petya-ransomware zou zijn die zich deze zomer verspreidde, zo meldt anti-virusbedrijf ESET. De malware zou honderden systemen hebben besmet.

Onder de slachtoffers bevinden zich de metro van Kiev, de luchthaven van Odessa en Oekraïense ministeries, aldus de virusbestrijder. Anti-virusbedrijf Kaspersky Lab laat weten dat de meeste slachtoffers zich in Rusland bevinden. Zo is het Russische persbureau Interfax door de ransomware getroffen. Het persbureau meldt dat de nieuwsdiensten vanwege de aanval niet beschikbaar zijn. "Gebaseerd op ons onderzoek is het een gerichte aanval tegen bedrijfsnetwerken via methodes die gelijk zijn aan de ExPetr-aanval", zegt Kaspersky-onderzoeker Alex Perekalin. ExPetr is een van de benamingen die de Petya-variant van deze zomer kreeg.

Volgens Kaspersky Lab wordt de BadRabbit-ransomware via een aantal gehackte Russische mediawebsites verspreid. ESET-onderzoeker Lukas Stefanko, Proofpoint-onderzoeker Darien Huss en de bekende anti-virusveteraan Vesselin Vladimirov Bontchev waarschuwen dat de ransomware zich op websites voordoet als een update voor Flash Player. Zodra een gebruiker deze zogenaamde update downloadt en opent, wordt de BadRabbit-ransomware op het systeem actief. BadRabbit probeert zich vervolgens verder op het netwerk te verspreiden. Hiervoor wordt een lijst met veelvoorkomende wachtwoorden gebruikt en probeert BadRabbit via de Mimikatz-tool inloggegevens te stelen.

BadRabbit versleutelt daarnaast bestanden en overschrijft net als Petya het Master Boot Record (MBR) van de harde schijf. Het systeem wordt daardoor onbruikbaar. De ransomware eist van slachtoffers 240 euro voor het ontsleutelen van de bestanden. Of slachtoffers door het losgeld te betalen ook hun bestanden terugkrijgen is nog onbekend. Organisaties krijgen het advies om het uitvoeren van de bestanden c:\windows\infpub.dat en c:\Windows\cscc.dat te blokkeren en wanneer mogelijk de WMI-service van Windows uit te schakelen, zodat de ransomware zich niet verder kan verspreiden.

Update

In eerste instantie rapporteerde ESET-onderzoeker Stefanko dat ook de EternalBlue-exploit werd gebruikt. Dit blijkt toch niet het geval te zijn. Het artikel is hierop aangepast.

Update 2

De aanvallers wisten meerdere media- en nieuwssites te hacken. Daarop werd kwaadaardige code geplaatst die de zogenaamde Flash Player-update aanbood. De meeste infecties zijn in Rusland waargenomen, gevolgd door Oekraïne, Bulgarije en Turkije. Volgens ESET zijn alle grote bedrijven op hetzelfde moment getroffen. "Het is mogelijk dat de aanvallers al toegang tot het netwerk hadden en de aanval via de websites op hetzelfde moment als afleiding lanceerden", zegt Marc-Etienne M.Léveillé van ESET. Hij merkt op dat er nog geen aanwijzingen zijn dat medewerkers van getroffen organisaties in de zogenaamde Flash Player-update zijn getrapt. Anti-malwarebedrijf Malwarebytes laat weten dat de aanvallers achter Bad Rabbit waarschijnlijk ook voor de Petya/NotPetya-variant van afgelopen juni verantwoordelijk zijn.

Inmiddels zijn er verschillende technische analyses van BadRabbit online verschenen. :

- Avast

- Bart Blaze

- Bitdefender

- Cisco

- ESET

- Kaspersky Lab

- Malwarebytes

- McAfee

- Qualys

Update 3

Volgens Costin Raiu van Kaspersky Lab zouden de aanvallers achter BadRabbit al sinds juli bezig zijn geweest met het opzetten van het netwerk van gehackte websites. De aanvallers hadden toegang tot onder andere Russische, Turkse, Duitse en Bulgaarse websites.

Image

Reacties (13)
24-10-2017, 19:21 door Anoniem
VT:
https://www.virustotal.com/#/file/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da/detection

Basic Properties zijn:

fbbdc39af1139aebba4da004475e8839
SHA-1
de5c8d858e6e41da715dca1c019df0bfb92d32c0
Authentihash
c9133016a3e5cfbfb1aa8b50d1160fa53573413d4f81f871054ec7396d5a8b17
Imphash
e3bda9df66f1f9b2b9b7b068518f2af1
File Type
Win32 EXE
Magic
PE32 executable for MS Windows (console) Intel 80386 32-bit
SSDeep
12288:BHNTywFAvN86pLbqWRKHZKfErrZJyZ0yqsGO3XR63:vT56NbqWRwZaEr3yt2O3XR63
TRiD
Win64 Executable (generic) (64.6%)
Win32 Dynamic Link Library (generic) (15.4%)
Win32 Executable (generic) (10.5%)
Generic Win/DOS Executable (4.6%)
DOS Executable Generic (4.6%)
File Size
431.54 KB

Malware komt als een Flash-update.

Stay Tuned!
24-10-2017, 20:15 door Anoniem
De konijnen zijn weer los

My mind drifts back
https://en.wikipedia.org/wiki/Badbunny_(computer_worm)

Dat waren nog eens tijden, huppekee, drie op een rij
Windows, Mac OS X en Linux.
Zouden ze geinsprireerd zijn 10 jaar na dato?
24-10-2017, 21:34 door Anoniem
Nu even serieus. Wat is er zo bijzonder aan? Omdat het een van de 500 ransomware varianten is? Of toch omdat er met grote letters Ukraine en Russia bij staat?
Ransomware in Ierland, Thailand of Polen haalt het nieuws niet maar als deze twee landen er bij staan vinden we het wel belangrijk? Wat een onzin om zo selectief te berichten.
24-10-2017, 22:44 door User2048
Door Anoniem: Nu even serieus. Wat is er zo bijzonder aan? Omdat het een van de 500 ransomware varianten is? Of toch omdat er met grote letters Ukraine en Russia bij staat?
Ransomware in Ierland, Thailand of Polen haalt het nieuws niet maar als deze twee landen er bij staan vinden we het wel belangrijk? Wat een onzin om zo selectief te berichten.
Het heeft te malen met de snelheid en schaal waarop de malware zich verspreidt. En met de zichtbare impact.
24-10-2017, 23:08 door Anoniem
Door Anoniem: Nu even serieus. Wat is er zo bijzonder aan? Omdat het een van de 500 ransomware varianten is? Of toch omdat er met grote letters Ukraine en Russia bij staat?
Ransomware in Ierland, Thailand of Polen haalt het nieuws niet maar als deze twee landen er bij staan vinden we het wel belangrijk? Wat een onzin om zo selectief te berichten.
Dit is duidelijk een zeer gerichte aanval met grote impact, dus niet zomaar een ransomware variant...
25-10-2017, 00:24 door Anoniem
Door User2048:Het heeft te malen met de snelheid en schaal waarop de malware zich verspreidt. En met de zichtbare impact.
Flauwekul. De nieuwsbrenger komt niet met referentiemateriaal waaruit blijkt dat die verspreiding of zichtbaarheid zo uitzonderlijk zijn.

Van de meeste ransomware of andere malware, inclusief deze, zijn er geen representatieve cijfers over de snelheid van verspreiding of de zichtbaarheid. Iemand schrijft er over en als socialmedia of het nieuws het over neemt dan is het nieuws en belangrijk. Terwijl de verspeiders van het nieuws zelf geheel niets substantieels brengen om aan te tonen waarom het wel nieuws is en waarom ze al het andere negeren. Volstrekt selectief kiezen op basis van makkelijk beschikbare voorbewerkte informatie en een paar steekwoorden die aandacht trekken.

Het ontbreekt constant aan die verantwoording waarom 'we', als verspreiders, wat we verspreiden belangrijk maken. Het lukt velen, inclusief de beeldbepaldende nieuwsbrengers, niet om zulke onderbouwing te geven. En als er iets fout is in het bepalen of iets belangrijk is bij beveiliging dan is het dit soort selectief risico's als belangrijk bestempelen of (zoals vaker het geval is) negeren. Risico en belang zijn verworden tot wat in het nieuws is en daarbij in handen van nieuwsbrengers die geen blijk geven dicht bij de materie te staan om risico's zorgvuldig af te kunnen wegen. Wel bepaalde situaties belangrijk maken, maar niet de verantwoording willen nemen om dat te verantwoorden.
25-10-2017, 01:49 door Anoniem
De technische details zijn inmiddels ook door ESET beschreven: https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
25-10-2017, 09:34 door Anoniem
Laten we eerst eens blij zijn DAT het in het nieuws komt, bewustwording is heel belangrijk. Risico en belang zijn kreten voor informatiebeveiligers die (nog niet) beklijven bij het publiek.
25-10-2017, 12:28 door Anoniem
Ransomware in Ierland, Thailand of Polen haalt het nieuws niet maar als deze twee landen er bij staan vinden we het wel belangrijk? Wat een onzin om zo selectief te berichten.

Ransomware in Ierland, Thailand of Polen is net zo interessant, en zou hier ook behandeld worden. Leg jij eens uit waarom je *niet* wenst te lezen over de BadRabbit ransomware ? Ik vind je reactie redelijk inhoudsloos namelijk. Je verwijt een IT security website, dat er hier geschreven wordt over een malware uitbraak, redelijk lachwekkend.
25-10-2017, 14:39 door Anoniem
10 jaar geleden was er een exit node met exact dezelfde naam.
Bad Rabbit verzin je niet zomaar, de kans bestaat best dat daar in psychologische zin nog een identificerende link zit, de gebruiker identificeert zich met de naam en de betekenis die het heeft voor (vermoedelijk) hem.
Bad Rabbit? Hoezo?

De exit node draaide overigens op windows xp waar de meeste exit nodes op linux draaien.
Te voorspelbaar maar niet onvoorstelbaar is dat de beheerder destijds wat te maken heeft hiermee, uitzoeken wie de beheerder was en vriendelijk informeren naar zijn huidige hobbies en inkomsten zou misschien geen kwaad kunnen.
Veel malware laat zich inspireren door zaken uit het verleden, dat kunnen activiteiten van anderen betreffen maar natuurlijk ook vernieuwde inzichten rondom eigen eerdere dead-end activiteiten.
Je weet het niet maar kan het altijd uitzoeken.

Wat ook nog kan is dat de maker een liefhebber is van Monty Python, een van hun films endigt namelijk met een Bad Rabbit ;)
Wat dan weer niet consequent is is het gebruik van javascript in plaats van Python.
Daar kunnen we dan weer tegenover zetten het idee van eedere konijneninspiratie, badbunny hield wel weer van javascriptcode.
Maar die lang verdwenen exit node met de naam Bad Rabbit, die link intrigeert het meest.
25-10-2017, 15:57 door Anoniem
Door Anoniem: Laten we eerst eens blij zijn DAT het in het nieuws komt, bewustwording is heel belangrijk. Risico en belang zijn kreten voor informatiebeveiligers die (nog niet) beklijven bij het publiek.
Leg jij eens uit waarom je *niet* wenst te lezen over de BadRabbit ransomware ? Ik vind je reactie redelijk inhoudsloos namelijk. Je verwijt een IT security website, dat er hier geschreven wordt over een malware uitbraak, redelijk lachwekkend.

De kritiek gaat over het gebrek aan afweging en nuance bij ICT beveiligingsnieuws. Dit soort tegenreacties geven weer waarom dat gebrek stand blijft houden: de brengers van het nieuws nemen we liever in bescherming, want we geven niets om afweging of nuance. En dan klagen dat anderen commentaar hebben, want dat is makkelijker dan om inhoud en zorgvuldigheid te vragen bij de nieuwsbrengers. Als afhankelijken elkaar bekritiseren is not done.

Als media professionals en social media geen benul hebben van een zorgvuldige afweging om malware tot nieuws te maken is blij zijn om mogelijke bijwerkingen geen goed tegen argument. Als dat de grens is dan kan je om al het nieuws blij zijn en dat past meer bij neigingen tot afhankelijkheid van nieuws op zich. Als het dan toch om bijwerkingen gaat, dan is het juist niet te veel gevraagd om kritisch te zijn over afweging en nuance.

Risico en belang zijn niet slechts kreten, het zijn onderdelen die diep geworteld zitten in ons bestaan. Samen met saamhorigheid zijn het peilers in ons sociaal bestaan en daar speelt nieuws op in. Met de selectieve, ontransparante en onkritische houding om met nieuws om te gaan doen we geen eer aan security of journalistiek.

Kritiek is aan doven gericht als de ontvanger geen moeite doet om zich in het onderwerp te verdiepen. Maar voor wie toch verder wil en kan kijken: bedenk als professional, berichter of lezer eens vaker of je wat te kiezen hebt en waarom je kiest om nieuws te brengen of lezen. Er is niets anders? Goede bronnen moet je zoeken en vernieuwen. Het was eerder ook nieuws? verwacht verdieping waarom dit ook nieuws is. Dit is belangrijk? Vraag je af welk belang je mist en of je niet blijft hangen. Iedereen heeft het er over? wees kritisch over de agenda. En mocht je nu verzuchten, kom dan niet met het makkelijke tegenwoord. De wereld gaat daar niet veiliger van worden.
25-10-2017, 16:57 door Anoniem
Door Anoniem: Nu even serieus. Wat is er zo bijzonder aan? Omdat het een van de 500 ransomware varianten is? Of toch omdat er met grote letters Ukraine en Russia bij staat?
Ransomware in Ierland, Thailand of Polen haalt het nieuws niet maar als deze twee landen er bij staan vinden we het wel belangrijk? Wat een onzin om zo selectief te berichten.

Serieus :
Onder de slachtoffers bevinden zich de metro van Kiev, de luchthaven van Odessa en Oekraïense ministeries,

De essentie ligt hem dus niet in de landen maar omwille van het feit dat openbare belangrijke infrastructuur is getroffen.
Daarom.
26-10-2017, 14:30 door Anoniem
Door Anoniem:De essentie ligt hem dus niet in de landen maar omwille van het feit dat openbare belangrijke infrastructuur is getroffen.
Het is geen nieuws dat Oekraine en Rusland niet de beste infrastructuur hebben. Belangrijker is dat evident niemand moeite heeft gedaan om zich af te vragen of het waar was, hoe omvangrijk, wat de schade was en hoe het kon (want hoge rechten nodig). Als een bedrijf uit het niets claimt dat (ook) infrastructuur getroffen is dan is en dat gaat klakkeloos het artikel in dan is dat niet de essentie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.