BadRabbit - การระบาดของ Ransomware ใหม่

BadRabbit - การระบาดของ Ransomware ใหม่

สายพันธุ์ใหม่ของ ransomware ที่เกิดขึ้นในวันนี้ ได้เข้าสู่สถาบันการศึกษาชั้นนำหลายแห่งในรัสเซียและยูเครนเช่นระบบรถไฟใต้ดินในเคียฟ สนามบินโอเดสซา และสำนักข่าวรัสเซีย Interfax สายพันธ์ใหม่ของ ransomware มีชื่อว่า Bad Rabbit และดูเหมือนจะกำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญ และหน่วยงานที่มีรายละเอียดสูงในพื้นที่โซเวียตเดิม การวิเคราะห์เบื้องต้นของเราพบว่าสายพันธุ์ใหม่ของ ransomware มาพร้อมกับเครื่องมือโอเพ่นซอร์สจำนวนมากที่ใช้ประโยชน์สำหรับการเข้ารหัสข้อมูล และการเคลื่อนไหวด้านข้างตามที่อธิบายไว้ด้านล่าง

ดูตัวอย่าง

กระบวนการติดไวรัสนั้นเริ่มต้นด้วยโปรแกรมติดตั้ง Adobe Flash ปลอมที่ดาวน์โหลดจากเว็บไซต์ที่ถูกบุกรุกมา ตัวติดตั้ง Flash แบบปลอมนี้ถือเป็นข้อมูลค่าตอบแทน ransomware ที่แท้จริงในการวางซ้อน ZLIB เมื่อถอดรหัสแล้วจะหยุด และเรียกใช้ ransomware ที่เกิดขึ้นจริง (ระบุว่าเป็น b14d8faf7f0cbcfad051cefe5f39645f) ปริมาณข้อมูล ransomware ที่กล่าวถึงข้างต้นถือได้น้อยกว่า 6 เครื่องมือที่แตกต่างกัน และบีบอัดเป็น ZLIB เพื่อใช้การเข้ารหัสรวมทั้งการแพร่กระจายด้านข้าง เครื่องมือเหล่านี้คือ: องค์ประกอบ encryptor (ระบุว่า 5b929abed1ab5406d1e55fea1b344dab) โปรแกรมโหลดบูต (ระบุว่า b14d8faf7f0cbcfad051cefe5f39645f) Mimikatz – ยูทิลิตี้เพื่อแยกรหัสผ่านและบัตรรับรองความถูกต้องจากหน่วยความจำ

• A Mimikatz binary compiled for x86 (identified as 37945c44a897aa42a66adcab68f560e0)

• A Mimikatz binary compiled for x64 (identified as 347ac3b6b791054de3e5720a7144a977) DiskCryptor – an open source partition encryption solution

• A DiskCryptor driver compiled for x86 (identified as b4e6d97dafd9224ed9a547d52c26ce02)

• A DiskCryptor driver compiled for x64 (identified as edb72f4a46c39452d1a5414f7d26454a)

สิ่งที่เราควรรู้ขณะนี้

Bad Rabbit มีลักษณะคล้ายกันมากกับ GoldenEye / NotPetya ทั้งแบบโครงสร้างและแบบกว้างขึ้น เป็นเป้าหมายของโครงสร้างพื้นฐานที่สำคัญของประเทศยูเครน และมีความรุนแรงจากการใช้งาน Mimikatz ซึ่งจะช่วยให้สามารถย้ายจากเวิร์กสเตชันที่ติดเชื้อไปยังองค์กรอื่นได้ทั่วทั้งองค์กร นอกจากนี้ยังมีการเข้ารหัสดิสก์ผ่านโปรแกรมควบคุม DiskCryptor เพื่อให้สามารถแทรกแซงกระบวนการบูตตามปกติ และป้องกันไม่ให้คอมพิวเตอร์เริ่มทำงานได้

 

ลักษณะเฉพาะ Game of Thrones ที่อ้างถึงในตัวอย่าง

สุดท้ายแล้วอย่างน้อยที่สุด ในขณะที่ ransomware มีลักษณะที่อ้างถึง Game of Thrones แต่ก็มีขั้นตอนการแฮชชิ่งที่คล้ายคลึงกับสิ่งที่ GoldenEye ใช้ เพื่อตรวจสอบว่ามีการติดตั้งโซลูชันด้านความปลอดภัยไว้เฉพาะที่ใดก่อนที่จะเข้ารหัส MBR ถ้าคุณใช้ผลิตภัณฑ์ป้องกันไวรัส Bitdefender สำหรับทั้งที่บ้านหรือที่ทำงาน คุณไม่จำเป็นต้องเป็นกังวล เนื่องจากโซลูชันของเราตรวจพบภัยคุกคามนี้เป็น Gen: Heur.Ransom.BadRabbit.1and Gen: Variant.Ransom.BadRabbit.1. ลูกค้าที่ใช้ Bitdefeder Elite ได้รับการปกป้องโดยอัลกอริธึมการเรียนรู้ของเครื่องจักรที่หนักมากขึ้น ซึ่งทำเครื่องหมายว่าเป็นภัยคุกคามนี้เป็น Gen: Illusion.ML.Skyline.10101

Post Releases