Organisaties in Oekraïne en Rusland zijn getroffen door een nieuw ransomware-exemplaar genaamd BadRabbit, wat een variant van de Petya-ransomware zou zijn die zich deze zomer verspreidde, zo meldt anti-virusbedrijf ESET. De malware zou honderden systemen hebben besmet.
Onder de slachtoffers bevinden zich de metro van Kiev, de luchthaven van Odessa en Oekraïense ministeries, aldus de virusbestrijder. Anti-virusbedrijf Kaspersky Lab laat weten dat de meeste slachtoffers zich in Rusland bevinden. Zo is het Russische persbureau Interfax door de ransomware getroffen. Het persbureau meldt dat de nieuwsdiensten vanwege de aanval niet beschikbaar zijn. "Gebaseerd op ons onderzoek is het een gerichte aanval tegen bedrijfsnetwerken via methodes die gelijk zijn aan de ExPetr-aanval", zegt Kaspersky-onderzoeker Alex Perekalin. ExPetr is een van de benamingen die de Petya-variant van deze zomer kreeg.
Volgens Kaspersky Lab wordt de BadRabbit-ransomware via een aantal gehackte Russische mediawebsites verspreid. ESET-onderzoeker Lukas Stefanko, Proofpoint-onderzoeker Darien Huss en de bekende anti-virusveteraan Vesselin Vladimirov Bontchev waarschuwen dat de ransomware zich op websites voordoet als een update voor Flash Player. Zodra een gebruiker deze zogenaamde update downloadt en opent, wordt de BadRabbit-ransomware op het systeem actief. BadRabbit probeert zich vervolgens verder op het netwerk te verspreiden. Hiervoor wordt een lijst met veelvoorkomende wachtwoorden gebruikt en probeert BadRabbit via de Mimikatz-tool inloggegevens te stelen.
BadRabbit versleutelt daarnaast bestanden en overschrijft net als Petya het Master Boot Record (MBR) van de harde schijf. Het systeem wordt daardoor onbruikbaar. De ransomware eist van slachtoffers 240 euro voor het ontsleutelen van de bestanden. Of slachtoffers door het losgeld te betalen ook hun bestanden terugkrijgen is nog onbekend. Organisaties krijgen het advies om het uitvoeren van de bestanden c:\windows\infpub.dat en c:\Windows\cscc.dat te blokkeren en wanneer mogelijk de WMI-service van Windows uit te schakelen, zodat de ransomware zich niet verder kan verspreiden.
In eerste instantie rapporteerde ESET-onderzoeker Stefanko dat ook de EternalBlue-exploit werd gebruikt. Dit blijkt toch niet het geval te zijn. Het artikel is hierop aangepast.
De aanvallers wisten meerdere media- en nieuwssites te hacken. Daarop werd kwaadaardige code geplaatst die de zogenaamde Flash Player-update aanbood. De meeste infecties zijn in Rusland waargenomen, gevolgd door Oekraïne, Bulgarije en Turkije. Volgens ESET zijn alle grote bedrijven op hetzelfde moment getroffen. "Het is mogelijk dat de aanvallers al toegang tot het netwerk hadden en de aanval via de websites op hetzelfde moment als afleiding lanceerden", zegt Marc-Etienne M.Léveillé van ESET. Hij merkt op dat er nog geen aanwijzingen zijn dat medewerkers van getroffen organisaties in de zogenaamde Flash Player-update zijn getrapt. Anti-malwarebedrijf Malwarebytes laat weten dat de aanvallers achter Bad Rabbit waarschijnlijk ook voor de Petya/NotPetya-variant van afgelopen juni verantwoordelijk zijn.
Inmiddels zijn er verschillende technische analyses van BadRabbit online verschenen. :
- Avast
- Cisco
- ESET
- McAfee
- Qualys
Volgens Costin Raiu van Kaspersky Lab zouden de aanvallers achter BadRabbit al sinds juli bezig zijn geweest met het opzetten van het netwerk van gehackte websites. De aanvallers hadden toegang tot onder andere Russische, Turkse, Duitse en Bulgaarse websites.
Deze posting is gelocked. Reageren is niet meer mogelijk.