Pe Urmele “Iepurelui cel Rau”

Pe Urmele “Iepurelui cel Rau”

O noua campanie de atacuri de tip ransomware denumita “Bad Rabbit” a lovit un numar ridicat de obiective de profil inalt in Rusia si Europa de Est. Detectat initial la data de 24 octombrie 2017, Bad Rabbit a compromis sisteme din Rusia si Ucraina, insa un numar de infectari a fost raportat atat in alte cateva parti ale Europei de Est, cat si in Turcia si Germania. La ora actuala, atacul pare sa se raspandeasca si in restul globului, incluzand aici si raportari din Coreea de Sud si S.U.A.

In Rusia, cateva agentii media, incluzand si Interfax, care a trecut integral “offline”, au confirmat infectari severe. Aditional, au fost afectate si anumite organizatii de transport, intre care Aeroportul International din Odessa si Metroul din Kiev in Ucraina. Inca nu exista vreo revendicare concreta care sa indice cine ar fi in spatele acestor atacuri.

Vectorul de atac initial este descris prin instalarea de catre utilizatori a unei copii falsificate de Flash Player obtinuta de pe site-uri compromise sau prin atacuri de tip “watering hole”. Utilizatorii sunt astfel determinati sa deschida un fisier executabil, lansand aplicatia ransomware. Malware-ul incearca apoi sa sustraga credentialele utilizatorului de Windows din memoria cache si sa cripteze fisierele utilizatorului. Spre deosebire de alte tipuri de ransomware deja consacrate, acesta nu redenumeste fisierele pe care le cripteaza.

“Payload”-ul pare a fi o versiune derivata din Petya, si o data executat, cripteaza fisierele de pe statia compromisa si de pe “share”-urile de retea inainte de a afisa mesajul de rascumparare. Acest ransomware pretinde plata a 0.05 Bitcoin (~290$) pentru a decripta fisierele inutilizabile.

Figura 1. Textul de rascumparare “Bad Rabbit”

Malware-ul poate lansa oricare sau toate din fisierele:

  • %Windows%\cscc.dat: Reprezinta un utilitar de criptare pentru disk, cunoscut initial drept dcrypt.sys dezvoltat de ReactOS.
  • %Windows%\dispci.exe: Detectat drept W32/Diskcoder.D!tr.ransom.
  • %Windows%\infub.dat: Detectat drept W32/Diskcoder.D!tr.ransom.
  • %Desktop%\DECRYPT.lnk: Reprezinta o scurtatura catre dispci.exe.
  • %RootDir%\Readme.txt: Contine textul de rascumparare.

Au fost inregistrate si urmatoarele comenzi WebDav:

  • OPTIONS /admin$
  • PROPFIND /admin$

In urma testelor facute de Fortiguard Labs (echipa de cercetare si raspuns rapid a Fortinet) au fost observate, totodata, incercari ale malware-ului de a enumera adrese IP din aceeasi subretea. Un posibil motiv pentru acest tip de comportament ar putea fi o cautare a IP-ului intern al unui server web valid. Aditional, payload-ul incearca sa se replice lateral pe echipamentele din aceeasi retea pentru a gasi si infecta alte statii vulnerabile.

Acest atac a atras atentia media, in principal, din cauza catorva similaritati cu atacurile la scara globala din primavara trecuta – WannaCry si Petya (precum utilizarea vulnerabilitatilor serviciului SMB – Service Message Block). Spre deosebire de metodele respective de infectare, “Bad Rabbit” nu exploateaza Eternal Blue sau DoublePulsar.

Fortinet a detectat la ora actuala doar o minima raspandire a acestui malware. Acest status se poate schimba o data ce se va extinde catre Europa si S.U.A., unde exista o densitate mult mai mare de “honeypots” si noduri senzoriale de cercetare.

Solutia:

Motorul Fortinet de AV/Malware detecteaza toate versiunile cunoscute ale acestui malware prin semnatura W32/Diskcoder.D!tr.ransom. Aditional,Fortinet Web Filtering si motoarele de DNS blocheaza serverele C&C (command and control) cunoscute.

Indicatori de Compromitere:

%Windows%\cscc.dat                    Dropper

%Windows%\dispci.exe                 Dropper

%Windows%\infub.da                    Dropper

%Desktop%\DECRYPT.lnk           Scurtatura catre dispci.exe

1dnsconrol[.].com                           Posibil server C&C

 

Va puteti inscrie pentru a primi notificarile saptamanale Fortiguard cu privire la ultimele vulnerabilitati si atacuri, sau sa participati activ la modul “open beta” al Fortinet Fortiguard Threat Intelligence Service.

Pentru mai multe informatii se poate descarca ghidul Fortinet despre cum se pot minimiza expunerile catre ransomware, in special, si catre alte tipuri de atacuri in general.

Articol comunicat de Fortinet.

Share this post