Μια νέα επίθεση ransomware εξαπλώνεται στην Ευρώπη και έχει επηρεάσει ήδη πάνω από 200 οργανισμούς, κυρίως στη Ρωσία, την Ουκρανία, την Τουρκία και τη Γερμανία.
Ανάμεσα στους οργανισμούς που έχουν επηρεαστεί περιλαμβάνονται ρωσικά πρακτορεία ειδήσεων, όπως το Interfax και το Fontanka, συστήματα πληρωμών για το μετρό του Κιέβου, το Διεθνές Αεροδρόμιο της Οδησσού και το Υπουργείο Υποδομών της Ουκρανίας. Το νέο ransomware ονομάζεται «Bad Rabbit» και δρα παρόμοια με το ransomware Petya κάνοντας επιθέσεις σε εταιρικά δίκτυα, απαιτώντας 0,05 bitcoin (περίπου 285 δολάρια) ως λύτρα από τα θύματα για να ξεκλειδώσουν τα συστήματά τους. Οι hackers ζητούν από τα θύματα τους να συνδεθούν σε έναν ιστότοπο Tor για να πραγματοποιήσουν την πληρωμή, η οποία εμφανίζει αντίστροφη μέτρηση 40 ωρών προτού αυξηθεί η τιμή της αποκρυπτογράφησης.
Σχολιάζοντας τα χαρακτηριστικά του νέου ransomware o Θεοφάνης Κασίμης, CEO της Audax Cybersecurity, δηλώνει στο ΝetFAX: «Σύμφωνα με την ανάλυση που κάναμε, το ransomware διανεμήθηκε μέσω επιθέσεων μεταφόρτωσης, χρησιμοποιώντας fake installer για τον Adobe Flash Player, με σκοπό να παραπλανήσει τα θύματά του και να οδηγήσει στην εγκατάσταση του malware». Το Bad Rabbit ransomware αξιοποιεί, επίσης, για τη δράση του το DiskCryptor, ένα λογισμικό κρυπτογράφησης πλήρους δίσκου ανοιχτού κώδικα, για την κρυπτογράφηση αρχείων σε μολυσμένους υπολογιστές με κλειδιά RSA 2048.
«Πιστεύουμε ότι το νέο ransomware δεν χρησιμοποιεί το EternalBlue exploit, ήτοι την SMB ευπάθεια που χρησιμοποιήθηκε από τα WannaCry και Petya ransomware για να εξαπλωθεί μέσω δικτύων, αλλά, αντ’ αυτού, ανιχνεύει πρώτα το εσωτερικό δίκτυο για ανοιχτά κοινόχρηστα στοιχεία SMB, δοκιμάζει έναν κώδικα με τα διαπιστευτήρια που χρησιμοποιούνται συνήθως για την απομάκρυνση κακόβουλου λογισμικού και επίσης χρησιμοποιεί το εργαλείο για να εξαγάγει τα διαπιστευτήρια από τα επηρεαζόμενα συστήματα».
Τέλος, ο Θ. Κασίμης συμπληρώνει: «Εξακολουθούμε να αναλύουμε το Bad Rabbit ransomware για να ελέγξουμε αν υπάρχει ένας τρόπος αποκρυπτογράφησης της πληροφορίας από τους υπολογιστές που δέχθηκαν την επίθεση, χωρίς να χρειάζεται να πληρωθούν τα λύτρα, όπως και πώς μπορεί να σταματήσει η εξάπλωση του ransomware».