image

Infrastructuur achter BadRabbit-ransomware sinds 2016 actief

donderdag 26 oktober 2017, 09:56 door Redactie, 4 reacties

De infrastructuur die afgelopen dinsdag werd gebruikt om de BadRabbit-ransomware te verspreiden was al sinds 2016 actief, zo stelt de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma van securitybedrijf RiskIQ. Bij de aanval maakten de aanvallers gebruik van een groot aantal gehackte websites.

Deze websites toonden een pop-up aan bezoekers dat ze een update voor Adobe Flash Player moesten installeren. In werkelijkheid ging het om een variant van de Petya-ransomware die bestanden op de harde schijf versleutelde en het Master Boot Record van de harde schijf overschreef. Daardoor kan het besturingssysteem niet meer worden gestart. Verder probeert BadRabbit via een lijst van veelgebruikte wachtwoorden en het onderscheppen van inloggegevens zich via SMB verder op het netwerk te verspreiden.

Op de gehackte websites was code geplaatst die naar een injectieserver wees die de kwaadaardige pop-up op de websites toonde. Eén van deze injectieservers was vorig jaar september al voor het eerst waargenomen. Daarnaast blijkt dat verschillende gehackte websites al sinds vorig jaar gecompromitteerd waren. RiskIQ telde 63 gehackte websites waar de aanvallers toegang toe hadden. Het securitybedrijf stelt dat het echter om meer websites kan gaan.

"De groep achter de BadRabbit-ransomware is al geruime tijd actief", aldus Klijnsma. De onderzoeker spreekt over een langlopende campagne die mogelijk voor iets anders dan BadRabbit werd opgezet. "Hoewel de BadRabbit-ransomware gloednieuw is, kunnen we de distributievector naar begin 2016 traceren, wat laat zien dat slachtoffers al veel eerder waren gecompromitteerd voordat de ransomware toesloeg en de nieuwscyclus begon. De campagne kan oorspronkelijk zelfs voor iets anders dan BadRabbit zijn opgezet." Securitybedrijf Symantec stelt dat 86 procent van de infecties zich in Rusland voordeed en het voornamelijk om bedrijven gaat.

Reacties (4)
26-10-2017, 14:33 door Anoniem
Snel gefabriceerd (als jij het eerste bent dan krijg je de meeste aandacht), hyperige statements (speelt in op interesse), claims die moeilijk zijn te controleren (rest klinkt plausibel genoeg dus laat de moeite maar), andere bedrijven komen later ook met soortgelijke berichten (dan 'moet' het belangrijk zijn dus neem maar over), de rest van het nieuws bericht er ook over (dus 'moet' het belangrijk zijn dus neem maar over).

Het kan dus ook anders. En kom niet aanzetten met dat wisten we al, want snel, hyperig, niet gecontroleerd, onbewezen samenhang van een breed verspreid onderwerp is geen waarheid. Het onderzoek waar dit artikel over gaat staat hier: https://www.riskiq.com/blog/labs/badrabbit/
26-10-2017, 15:00 door Anoniem
Securitybedrijf Symantec stelt dat het voornamelijk om bedrijven gaat [met een infectie].
De analyse toont aan dat de websites die gebruikt zijn voor verspreiding zich richten op het gewone publiek en divers in onderwerp zijn. Dat Symantec kan stellen dat bedrijven voornamelijk getroffen zijn kan dan komen omdat de kans dat iemand zich laat besmetten via een fake pop up erg klein is maar bedrijven genoeg medewerkers hebben om toch besmet te raken.
26-10-2017, 17:40 door Anoniem
BadRabbit, what else is new?

Slechts 63 websites gebruikt voor verspreiding van malware. Dagelijks zijn er duizenden websites waarmee criminelen malware verspreiden voor later gebruikt.
Ongerichte aanval. Als taal of land van een besmette website gericht zou zijn dan valt voor alle besmettingen via meer haarden wel een common identifier te vinden om het gericht te noemen.
Een paar duizend besmettingen. Dagelijks zijn er wereldwijd per campagne duizenden besmettingen te tellen.
Gebruikt bekende kwetsbaarheden en tools. Waar veel campagnes zich van bedienen.
Ook infrastructuur en overheid besmet. Geen campagne met deze kenmerken waar die niet geraakt kunnen worden.

De correcte vraag is dan: waarom zou je een brede infrastructuur waar je een paar jaar aan gebouwd hebt prijs geven met een ransomwarebesmetting?

Misschien kan die vraag beantwoord worden door eens te kijken naar de simpelheid waarop die 63 websites te compromiteren waren en bleven, blijkbaar al maanden opvielen voor niets noemenswaardigs en de simpele wijze van poging tot besmetting. Er wordt constant gesproken over een groep, maar alles wijst op een situatie waar met gemak slechts een persoon verantwoordelijk voor kan zijn.
27-10-2017, 17:54 door Anoniem
Ja eigenlijk zouden de web admins van de besmette launching sites moeten worden vervolgd voor grove nalatigheid.

Maar ja, zo lang er nog CDNs in de States zijn, die WordPress draaien met af te voeren script code, zonder security headers en net dat level security draaien waar ze nog net mee weg denken te komen, maar wel de volle "pot" voor rekenen bij de klant, zit er nog veel meer ellende in de pijplijn aan te komen. Daar kun je je code-boek wel op naslaan.

En dan al die sites nog, die verkeerd of te open staand geconfigureerd zijn, Diegenen, die zoiets in de lucht tilt of houdt, zou vervolgd moeten worden. Nu willen we er alleen maar geld aan verdienen, door deze incompetente hap door te laten ploeteren.

Gaat toch goed zo, denkt Google, facebook, M$ en consorten, en alles wat hiermee "hand in foot" wil leven.

Edoch - wij als eindgebruiker zijn de klos. De rest loopt ruimschoots binnen en de dommerds en onbenullen blijven zo de groot-graaiers faciliteren ten koste van een heleboel cybercrime ellende. Het onverklaarbare circus dendert zo door!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.