De Britse overheid houdt Rusland verantwoordelijk voor de verspreiding van de BadRabbit-ransomware, alsmede aanvallen op het Wereld Anti-Doping Agentschap (WADA), de Amerikaanse Democratische Partij en een kleine Britse televisiezender.
De BadRabbit-ransomware werd vorig jaar oktober verspreid en raakte met name organisaties in Oekraïne en Rusland, waaronder de metro van Kiev, de luchthaven van Odessa en Oekraïense ministeries. De initiële infectie begon via een zogenaamde Flash Player-update die via gehackte websites aan internetgebruikers werd aangeboden. Zodra deze "update" was gedownload en geopend werd de BadRabbit-ransomware geïnstalleerd. Naast het versleutelen van bestanden en het overschrijven van het Master Boot Record (MBR) van de harde schijf probeerde de ransomware ook andere machines in het netwerk te infecteren.
Volgens het Britse National Cyber Security Centre (NCSC) heeft het verschillende cyberactoren geïdentificeerd die voor aanvallen wereldwijd verantwoordelijk worden gehouden, maar in werkelijkheid de Russische militaire inlichtingendienst GRU zijn. De GRU zou in rapporten van securitybedrijven onder andere bekendstaan als APT 28, Fancy Bear, Sofacy, Pawnstorm, Sednit, Strontium, BlackEnergy en Sandworm.
Naast de beschuldiging heeft het NCSC ook verschillende "indicators of compromise" (IOCs) gegeven. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, domeinnamen, hashes, bestandsnamen, Snort-rules en anti-virusbenamingen.
Verder geeft het NCSC advies om infecties te voorkomen. Zo wordt aangeraden de gratis tool SysMon te installeren, een onderdeel van Microsofts Sysinternals, een populaire verzameling van programma's om onder andere malware te vinden en te verwijderen. Via SysMon is het mogelijk om systeemactiviteiten te monitoren en loggen. Ook biedt het informatie over aangemaakte processen, netwerkverbindingen en aanpassingen aan bestanden.
Tevens wordt organisaties aangeraden om het risico van PowerShell en macro's tegen te gaan. De aanvallen die aan de GRU zijn toegeschreven waren mede mogelijk omdat werknemers van aangevallen organisaties documenten via e-mail ontvingen en de macro's in deze documenten inschakelden, waardoor er malware op hun systeem werd geïnstalleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.