De infrastructuur die afgelopen dinsdag werd gebruikt om de BadRabbit-ransomware te verspreiden was al sinds 2016 actief, zo stelt de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma van securitybedrijf RiskIQ. Bij de aanval maakten de aanvallers gebruik van een groot aantal gehackte websites.
Deze websites toonden een pop-up aan bezoekers dat ze een update voor Adobe Flash Player moesten installeren. In werkelijkheid ging het om een variant van de Petya-ransomware die bestanden op de harde schijf versleutelde en het Master Boot Record van de harde schijf overschreef. Daardoor kan het besturingssysteem niet meer worden gestart. Verder probeert BadRabbit via een lijst van veelgebruikte wachtwoorden en het onderscheppen van inloggegevens zich via SMB verder op het netwerk te verspreiden.
Op de gehackte websites was code geplaatst die naar een injectieserver wees die de kwaadaardige pop-up op de websites toonde. Eén van deze injectieservers was vorig jaar september al voor het eerst waargenomen. Daarnaast blijkt dat verschillende gehackte websites al sinds vorig jaar gecompromitteerd waren. RiskIQ telde 63 gehackte websites waar de aanvallers toegang toe hadden. Het securitybedrijf stelt dat het echter om meer websites kan gaan.
"De groep achter de BadRabbit-ransomware is al geruime tijd actief", aldus Klijnsma. De onderzoeker spreekt over een langlopende campagne die mogelijk voor iets anders dan BadRabbit werd opgezet. "Hoewel de BadRabbit-ransomware gloednieuw is, kunnen we de distributievector naar begin 2016 traceren, wat laat zien dat slachtoffers al veel eerder waren gecompromitteerd voordat de ransomware toesloeg en de nieuwscyclus begon. De campagne kan oorspronkelijk zelfs voor iets anders dan BadRabbit zijn opgezet." Securitybedrijf Symantec stelt dat 86 procent van de infecties zich in Rusland voordeed en het voornamelijk om bedrijven gaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.