Bad Rabbit: nowa epidemia ransomware
W 2017 roku byliśmy świadkami już dwóch epidemii szkodliwych programów szyfrujących dane dla okupu (czyli tzw. ransomware) – mowa o głośnych atakach WannaCry oraz ExPetr (lub inaczej Petya albo NotPeyta). Wygląda na to, że mamy do czynienia z trzecim. Nazwa szkodnika to Bad Rabbit, a przynajmniej tak nazywany jest on przez samych atakujących.
Jeżeli chodzi o ofiary, na chwilę obecną wiadomo o atakach na kilka rosyjskich mediów, w tym Interfax i Fontanka. Pojawiły się także doniesienia o atakach, prawdopodobnie tego samego szkodliwego programu, na lotnisko w Odessie.
Za odszyfrowanie danych atakujący żądają 0,05 bitcoina, czyli równowartość około 280 dolarów przy obecnej wartości tej kryptowaluty.
Szczegóły odnośnie ataku i sposobu rozprzestrzeniania tego szkodliwego programu nie są jeszcze znane. Nie wiadomo także, czy możliwe jest odszyfrowanie danych bez płacenia okupu (zapłacenie go także nie gwarantuje odzyskania informacji). Eksperci z Kaspersky Lab badają nowy atak i będziemy na bieżąco informować o pojawianiu się nowych informacji.
Większość ofiar jest zlokalizowana w Rosji, jednak obserwujemy także ataki na Ukrainie, w Turcji i Niemczech (gdzie są one mniej intensywne). Szkodliwe oprogramowanie rozprzestrzenia się najprawdopodobniej przez zainfekowane strony rosyjskich mediów. Wstępna analiza wskazuje, że mamy do czynienia z atakiem ukierunkowanym na sieci firmowe. Metody zastosowane przez cyberprzestępców przypominają te użyte w ataku ExPetr, ale na chwilę obecną nie możemy potwierdzić powiązania z tym niesławnym szkodliwym programem.
Produkty Kaspersky Lab wykrywają ten nowy szkodliwy program jako DangerousObject.Multi.Generic (przy użyciu chmury Kaspersky Security Network – KSN), PDM: Trojan.Win32.Generic (przy użyciu modułu Kontrola systemu) oraz Trojan-Ransom.Win32.Gen.ftl.
Aby nie paść ofiarą ataku Bad Rabbit zalecamy:
Dla użytkowników rozwiązań bezpieczeństwa Kaspersky Lab:
- Upewnij się, że moduły Kaspersky Security Network oraz Kontrola systemu są aktywne. Funkcje te są domyślnie włączone.
Dla tych, którzy nie korzystają z rozwiązań zabezpieczających firmy Kaspersky Lab:
- Zablokuj możliwość uruchamiania pików: c:\windows\infpub.dat, C:\Windows\cscc.dat.
- Wyłącz (jeśli jest to możliwe) korzystanie z systemowej usługi WMI, aby zapobiec rozprzestrzenianiu się szkodnika w Twojej sieci.
Dla wszystkich użytkowników:
- Zadbaj o wykonanie kopii zapasowej danych.
- Nie płać okupu.
