Infrastructuur achter BadRabbit-ransomware sinds 2016 actief
De infrastructuur die afgelopen dinsdag werd gebruikt om de BadRabbit-ransomware te verspreiden was al sinds 2016 actief, zo stelt de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma van securitybedrijf RiskIQ. Bij de aanval maakten de aanvallers gebruik van een groot aantal gehackte websites.
Deze websites toonden een pop-up aan bezoekers dat ze een update voor Adobe Flash Player moesten installeren. In werkelijkheid ging het om een variant van de Petya-ransomware die bestanden op de harde schijf versleutelde en het Master Boot Record van de harde schijf overschreef. Daardoor kan het besturingssysteem niet meer worden gestart. Verder probeert BadRabbit via een lijst van veelgebruikte wachtwoorden en het onderscheppen van inloggegevens zich via SMB verder op het netwerk te verspreiden.
Op de gehackte websites was code geplaatst die naar een injectieserver wees die de kwaadaardige pop-up op de websites toonde. Eén van deze injectieservers was vorig jaar september al voor het eerst waargenomen. Daarnaast blijkt dat verschillende gehackte websites al sinds vorig jaar gecompromitteerd waren. RiskIQ telde 63 gehackte websites waar de aanvallers toegang toe hadden. Het securitybedrijf stelt dat het echter om meer websites kan gaan.
"De groep achter de BadRabbit-ransomware is al geruime tijd actief", aldus Klijnsma. De onderzoeker spreekt over een langlopende campagne die mogelijk voor iets anders dan BadRabbit werd opgezet. "Hoewel de BadRabbit-ransomware gloednieuw is, kunnen we de distributievector naar begin 2016 traceren, wat laat zien dat slachtoffers al veel eerder waren gecompromitteerd voordat de ransomware toesloeg en de nieuwscyclus begon. De campagne kan oorspronkelijk zelfs voor iets anders dan BadRabbit zijn opgezet." Securitybedrijf Symantec stelt dat 86 procent van de infecties zich in Rusland voordeed en het voornamelijk om bedrijven gaat.
Het kan dus ook anders. En kom niet aanzetten met dat wisten we al, want snel, hyperig, niet gecontroleerd, onbewezen samenhang van een breed verspreid onderwerp is geen waarheid. Het onderzoek waar dit artikel over gaat staat hier: https://www.riskiq.com/blog/labs/badrabbit/
Slechts 63 websites gebruikt voor verspreiding van malware. Dagelijks zijn er duizenden websites waarmee criminelen malware verspreiden voor later gebruikt.
Ongerichte aanval. Als taal of land van een besmette website gericht zou zijn dan valt voor alle besmettingen via meer haarden wel een common identifier te vinden om het gericht te noemen.
Een paar duizend besmettingen. Dagelijks zijn er wereldwijd per campagne duizenden besmettingen te tellen.
Gebruikt bekende kwetsbaarheden en tools. Waar veel campagnes zich van bedienen.
Ook infrastructuur en overheid besmet. Geen campagne met deze kenmerken waar die niet geraakt kunnen worden.
De correcte vraag is dan: waarom zou je een brede infrastructuur waar je een paar jaar aan gebouwd hebt prijs geven met een ransomwarebesmetting?
Misschien kan die vraag beantwoord worden door eens te kijken naar de simpelheid waarop die 63 websites te compromiteren waren en bleven, blijkbaar al maanden opvielen voor niets noemenswaardigs en de simpele wijze van poging tot besmetting. Er wordt constant gesproken over een groep, maar alles wijst op een situatie waar met gemak slechts een persoon verantwoordelijk voor kan zijn.
Maar ja, zo lang er nog CDNs in de States zijn, die WordPress draaien met af te voeren script code, zonder security headers en net dat level security draaien waar ze nog net mee weg denken te komen, maar wel de volle "pot" voor rekenen bij de klant, zit er nog veel meer ellende in de pijplijn aan te komen. Daar kun je je code-boek wel op naslaan.
En dan al die sites nog, die verkeerd of te open staand geconfigureerd zijn, Diegenen, die zoiets in de lucht tilt of houdt, zou vervolgd moeten worden. Nu willen we er alleen maar geld aan verdienen, door deze incompetente hap door te laten ploeteren.
Gaat toch goed zo, denkt Google, facebook, M$ en consorten, en alles wat hiermee "hand in foot" wil leven.
Edoch - wij als eindgebruiker zijn de klos. De rest loopt ruimschoots binnen en de dommerds en onbenullen blijven zo de groot-graaiers faciliteren ten koste van een heleboel cybercrime ellende. Het onverklaarbare circus dendert zo door!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
