Iepure rău

Bad Rabbit ( în rusă „Bad Rabbit” ) este un virus ransomware dezvoltat pentru familia de sisteme de operare Windows și descoperit pe 24 octombrie 2017 [1] . Potrivit analiștilor, programul are asemănarea fragmentelor individuale cu virusul NotPetya .

Potrivit Symantec, virusul are un nivel scăzut de amenințare [2] . Pe 25 octombrie, serverele care au furnizat infectarea inițială cu Bad Rabbit au fost oprite [3] .

Istorie

La 24 octombrie 2017, un virus ransomware a atacat o serie de mass-media rusă , inclusiv agenția de știri Interfax și ziarul online Fontanka , precum și metroul din Kiev și aeroportul Odesa , cerând 0,05 bitcoini (aproximativ 16 mii de ruble) pentru deblocarea unui computer. timp de 48 de ore [4] [5] [6] . De asemenea, într-o măsură mai mică, Turcia și Germania au fost atacate [7] [8] . Restaurarea site-ului web și a computerelor Interfax a durat mai mult de o zi [9] [10] . În același timp, în virus s-au găsit referiri la saga fantastică „ Game of Thrones ” și anume numele a trei dragoni – Drogon, Rhaegal și Viserion [11] [12] [13] [14] .

Metoda de atac

Pentru instalarea inițială, Virusul nu folosește nicio exploatare sau vulnerabilitate: programul de instalare a virușilor, prefăcându-se ca o actualizare pentru Adobe Flash Player , trebuie să fie descărcat și rulat manual de către utilizator, acesta solicită confirmarea nivelului de permis prin Windows UAC [15] .

După instalare, aplicația se înregistrează cu mecanismul obișnuit de programare a sarcinilor și începe auto-propagarea în rețeaua locală prin conexiuni SMB și WMIC la distanță prin interceptarea jetoanelor și parolelor cu utilitarul Mimikatz și parolele NTLM de forță brută pe noduri Windows la distanță pentru o serie de nume de utilizator [15] . Potrivit Cisco Talos, componenta de propagare a virusului folosește în plus tehnologii și coduri NSA „EternalRomance”, care au fost publicate anterior de grupul Shadowbrokers (eroare în codurile SMB , remediată de Microsoft în martie 2017) [16] [17] .

Aplicația criptează fișierele folosind algoritmii AES-128-CBC și RSA-2048 [1] .

Încălcând licența GPLv3 , Bad Rabbit folosește coduri și un driver din proiectul DiskCryptor [15] [18] [19] , dar nu publică coduri sursă modificate și nu cere consimțământul utilizatorului pentru a utiliza licența GPLv3.

Vezi și

• Vreau să plâng
• Petya

Note

1. ↑ 1 2 Orkhan Mammadov, Fedor Sinitsyn, Anton Ivanov. Cifrul iepurelui rău . Kaspersky Lab (25 octombrie 2017). Consultat la 27 octombrie 2017. Arhivat din original la 27 octombrie 2017. (nedefinit)
2. ↑ Benjamin Moench Ransom.BadRabbit. Detalii tehnice Arhivate pe 27 octombrie 2017 la Wayback Machine / Symantec Security Response
3. ↑ Lorenzo Franceschi-Bicchierai . Infrastructura pentru ransomware-ul „Bad Rabbit” pare să fi fost închisă  (engleză) , Vice (25 octombrie 2017). Arhivat din original pe 26 octombrie 2017. Preluat la 27 octombrie 2017.
4. ↑ Group-IB: Bad Rabbit ransomware a atacat mass-media rusă . TASS (24 octombrie 2017). Preluat la 26 octombrie 2017. Arhivat din original la 26 octombrie 2017. (nedefinit)
5. ↑ Ivan Gusev. Rusia a fost atacată de un nou virus ransomware „Bad Rabbit” . Viața (24 octombrie 2017). Preluat la 26 octombrie 2017. Arhivat din original la 26 octombrie 2017. (nedefinit)
6. ↑ Polina Dukhanova. „Nu sunt cei mai alfabetizați hackeri”: ce se află în spatele atacurilor cibernetice asupra mass-media ruse . RT (24 octombrie 2017). Preluat la 26 octombrie 2017. Arhivat din original la 26 octombrie 2017. (nedefinit)
7. ↑ Alexey Sharoglazov. Victimele atacului ransomware Bad Rabbit numite . Izvestia (24 octombrie 2017). Preluat la 26 octombrie 2017. Arhivat din original la 25 octombrie 2017. (nedefinit)
8. ↑ Ransomware-ul a atacat victimele prin intermediul site-urilor media . Vesti.net (25 octombrie 2017). Preluat la 28 decembrie 2017. Arhivat din original la 27 decembrie 2017. (nedefinit)
9. ↑ Kristina Zhukova. Activitatea mass-media afectată de virusul Bad Rabbit a fost restabilită . Kommersant (25 octombrie 2017). Preluat la 26 octombrie 2017. Arhivat din original la 26 octombrie 2017. (nedefinit)
10. ↑ Ransomware-ul „Bad Rabbit ” lovește Ucraina și Rusia  . BBC News (26 octombrie 2017). Preluat la 27 octombrie 2017. Arhivat din original la 6 ianuarie 2021.
11. ↑ Experții au dezvăluit legătura dintre virusul Bad Rabbit și „Game of Thrones” . Lenta.ru (25 octombrie 2017). Preluat la 26 octombrie 2017. Arhivat din original la 9 iunie 2021. (nedefinit)
12. ↑ Roman Bosikov. Experții au găsit o legătură între virusul Iepurașul Rău și Game of Thrones . Viața (25 octombrie 2017). Preluat la 26 octombrie 2017. Arhivat din original la 26 octombrie 2017. (nedefinit)
13. ↑ În virusul „Bad Rabbit” care a lovit mass-media rusă, experții au găsit referiri la „Game of Thrones” . Canalul Cinci (26 octombrie 2017). Data accesului: 26 octombrie 2017. (nedefinit)
14. ↑ Bad Rabbit ransomware creat de fanii Game of Thrones . CHIP (26 octombrie 2017). Preluat la 26 octombrie 2017. Arhivat din original la 26 octombrie 2017. (nedefinit)
15. ↑ 1 2 3 Cum funcționează ransomware-ul Bad Rabbit și există un link către NotPetya aici . Preluat la 26 octombrie 2017. Arhivat din original la 26 octombrie 2017. (nedefinit)
16. ↑ NICK BIASINI. Amenințările în prim-plan : Urmărește-l pe Iepure Rău  . Talos Intelligence (24 OCTOMBRIE 2017). Consultat la 27 octombrie 2017. Arhivat din original la 27 octombrie 2017.
17. ↑ SEAN GALLAGHER . Bad Rabbit a folosit exploatația NSA „EternalRomance” pentru a se răspândi, spun cercetătorii  (în engleză) , ARS Technica (26 octombrie 2017). Arhivat din original pe 26 octombrie 2017. Preluat la 27 octombrie 2017.
18. ↑ Un nou val de programe malware de criptare a datelor lovesc Rusia și Ucraina Arhivat 26 octombrie 2017 la Wayback Machine 
19. ↑ Kevin Beaumont pe Twitter: „#BadRabbit folosește un program legitim, semnat, numit DiskCryptor pentru a bloca hard diskul victimei…” . Preluat la 26 octombrie 2017. Arhivat din original la 1 decembrie 2017. (nedefinit)