Mayday! Mayday! Een nieuwe uitbraak van een nieuwe ransomware heeft de grote infrastructuur van Oekraïne en Rusland getroffen, waaronder verschillende transportorganisaties en vele overheidsorganisaties, en wordt uitgevoerd onder de naam "Bad Rabbit" .
Volgens de mediarapporten zijn veel computers met deze cyberaanval gecodeerd. Openbare bronnen hebben bevestigd dat de computersystemen van Kiev Metro samen met de luchthaven van Odessa en andere talloze organisaties uit Rusland zijn getroffen.
De malware die werd gebruikt voor deze cyberaanval was "Disk Coder.D" - een nieuwe variant van de ransomware die in de volksmond de naam "Petya" kreeg. De vorige cyberaanval door Disk Coder heeft in juni 2017 wereldwijd schade veroorzaakt.
ESET over Bad Rabbit.
ESET's telemetriesysteem heeft talloze gevallen van schijfcoder gemeld. D in Rusland en Oekraïne zijn er echter detecties van deze cyberaanval op computers uit Turkije, Bulgarije en enkele andere landen.
Momenteel wordt door ESET's beveiligingsonderzoekers gewerkt aan een uitgebreide analyse van deze malware. Volgens hun voorlopige bevindingen, Disk Coder. D gebruikt de Mimikatz-tool om de referenties van de betrokken systemen te extraheren. Hun bevindingen en analyses zijn aan de gang en wij houden u op de hoogte zodra verdere details bekend worden gemaakt.
Het ESET-telemetriesysteem informeert ook dat Oekraïne slechts 12, 2% vertegenwoordigt van het totale aantal keren dat ze Bad Rabbit-infiltratie hebben gezien. Hieronder volgen de overige statistieken:
- Rusland: 65%
- Oekraïne: 12, 2%
- Bulgarije: 10, 2%
- Turkije: 6, 4%
- Japan: 3, 8%
- Overig: 2, 4%
De bovengenoemde verdeling van landen werd dienovereenkomstig door Bad Rabbit gecompromitteerd. Interessant is dat al deze landen tegelijkertijd werden getroffen. Het is vrij waarschijnlijk dat de groep al een voet binnen het netwerk van de getroffen organisaties had.
Het hoe.
De distributiemethode die wordt gebruikt voor Bad Rabbit is "Drive-By Download". In eenvoudiger bewoordingen is een drive-by download een onbedoelde downloadpop-up die op websites of e-mails wordt getoond. In deze gevallen beweert de 'leverancier' dat de gebruiker 'heeft ingestemd' met die specifieke download, hoewel de gebruiker eigenlijk helemaal niet op de hoogte was van het starten van een ongewenste of schadelijke software-download.
Op dezelfde manier is wat we tot nu toe hebben gezien een pop-up waarin wordt gevraagd om een bijgewerkte versie van Adobe's Flash Player te downloaden, zoals hieronder wordt getoond.
Zodra iemand op de downloadknop drukt, wordt een uitvoerbaar bestand gedownload. Dit uitvoerbare bestand ie install_flash_player.exe is de dropper voor Bad Rabbit. Uiteindelijk wordt de computer vergrendeld en wordt het losgeld als volgt weergegeven.
Bovendien ziet de betaalpagina van Bad Rabbit er ongeveer zo uit.
Hieronder volgen de gecompromitteerde websites.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // an-crimearu
- hxxp: //www.t.ksua
- hxxp: // meest dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Wat nu?
Cyberaanvallen zijn tegenwoordig geëvolueerd naar vele gezichten. Het internet is geen veilige plek meer en daarom wordt het gebruik van een authentieke VPN sterk aanbevolen; vooral wanneer u verbinding maakt met een openbare wifi.
Creëer een veilig gecodeerde tunnel tussen uzelf en het internet met Ivacy VPN, de toonaangevende VPN-serviceprovider in de branche en neem controle over uw online aanwezigheid en beveilig uw waardevolle gegevens.
