Infrastructuur achter BadRabbit-ransomware sinds 2016 actief
De infrastructuur die afgelopen dinsdag werd gebruikt om de BadRabbit-ransomware te verspreiden was al sinds 2016 actief, zo stelt de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma van securitybedrijf RiskIQ. Bij de aanval maakten de aanvallers gebruik van een groot aantal gehackte websites.
Deze websites toonden een pop-up aan bezoekers dat ze een update voor Adobe Flash Player moesten installeren. In werkelijkheid ging het om een variant van de Petya-ransomware die bestanden op de harde schijf versleutelde en het Master Boot Record van de harde schijf overschreef. Daardoor kan het besturingssysteem niet meer worden gestart. Verder probeert BadRabbit via een lijst van veelgebruikte wachtwoorden en het onderscheppen van inloggegevens zich via SMB verder op het netwerk te verspreiden.
Op de gehackte websites was code geplaatst die naar een injectieserver wees die de kwaadaardige pop-up op de websites toonde. Eén van deze injectieservers was vorig jaar september al voor het eerst waargenomen. Daarnaast blijkt dat verschillende gehackte websites al sinds vorig jaar gecompromitteerd waren. RiskIQ telde 63 gehackte websites waar de aanvallers toegang toe hadden. Het securitybedrijf stelt dat het echter om meer websites kan gaan.
"De groep achter de BadRabbit-ransomware is al geruime tijd actief", aldus Klijnsma. De onderzoeker spreekt over een langlopende campagne die mogelijk voor iets anders dan BadRabbit werd opgezet. "Hoewel de BadRabbit-ransomware gloednieuw is, kunnen we de distributievector naar begin 2016 traceren, wat laat zien dat slachtoffers al veel eerder waren gecompromitteerd voordat de ransomware toesloeg en de nieuwscyclus begon. De campagne kan oorspronkelijk zelfs voor iets anders dan BadRabbit zijn opgezet." Securitybedrijf Symantec stelt dat 86 procent van de infecties zich in Rusland voordeed en het voornamelijk om bedrijven gaat.
Het kan dus ook anders. En kom niet aanzetten met dat wisten we al, want snel, hyperig, niet gecontroleerd, onbewezen samenhang van een breed verspreid onderwerp is geen waarheid. Het onderzoek waar dit artikel over gaat staat hier: https://www.riskiq.com/blog/labs/badrabbit/
Slechts 63 websites gebruikt voor verspreiding van malware. Dagelijks zijn er duizenden websites waarmee criminelen malware verspreiden voor later gebruikt.
Ongerichte aanval. Als taal of land van een besmette website gericht zou zijn dan valt voor alle besmettingen via meer haarden wel een common identifier te vinden om het gericht te noemen.
Een paar duizend besmettingen. Dagelijks zijn er wereldwijd per campagne duizenden besmettingen te tellen.
Gebruikt bekende kwetsbaarheden en tools. Waar veel campagnes zich van bedienen.
Ook infrastructuur en overheid besmet. Geen campagne met deze kenmerken waar die niet geraakt kunnen worden.
De correcte vraag is dan: waarom zou je een brede infrastructuur waar je een paar jaar aan gebouwd hebt prijs geven met een ransomwarebesmetting?
Misschien kan die vraag beantwoord worden door eens te kijken naar de simpelheid waarop die 63 websites te compromiteren waren en bleven, blijkbaar al maanden opvielen voor niets noemenswaardigs en de simpele wijze van poging tot besmetting. Er wordt constant gesproken over een groep, maar alles wijst op een situatie waar met gemak slechts een persoon verantwoordelijk voor kan zijn.
Maar ja, zo lang er nog CDNs in de States zijn, die WordPress draaien met af te voeren script code, zonder security headers en net dat level security draaien waar ze nog net mee weg denken te komen, maar wel de volle "pot" voor rekenen bij de klant, zit er nog veel meer ellende in de pijplijn aan te komen. Daar kun je je code-boek wel op naslaan.
En dan al die sites nog, die verkeerd of te open staand geconfigureerd zijn, Diegenen, die zoiets in de lucht tilt of houdt, zou vervolgd moeten worden. Nu willen we er alleen maar geld aan verdienen, door deze incompetente hap door te laten ploeteren.
Gaat toch goed zo, denkt Google, facebook, M$ en consorten, en alles wat hiermee "hand in foot" wil leven.
Edoch - wij als eindgebruiker zijn de klos. De rest loopt ruimschoots binnen en de dommerds en onbenullen blijven zo de groot-graaiers faciliteren ten koste van een heleboel cybercrime ellende. Het onverklaarbare circus dendert zo door!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
