Am văzut deja două atacuri ransomware pe scară largă în acest an – vorbim despre infamurile WannaCry și ExPetr (cunoscute și ca Petya și NotPetya). Se pare că un al treilea atac este în creștere: Noul malware este numit Bad Rabbit – cel puțin, acesta este numele indicat de site-ul darknet conectat în nota de răscumpărare.
Ceea ce se știe în prezent este faptul că ransomware-ul Bad Rabbit a infectat câteva agenții mass-media din Rusia, printre care agențiile de știri Interfax și Fontanka.ru se află printre victimele confirmate ale malware-ului. Aeroportul Internațional Odessa a raportat un atac cibernetic pe sistemul său de informații, deși nu este clar încă dacă este vorba de același atac Bad Rabbit.
Hackerii din spatele atacului Bad Rabbit solicită 0,05 bitcoin ca și răscumpărare – adică aproximativ 280 dolari la cursul de schimb curent.
Conform constatărilor celor de la Kaspersky, este vorba despre un atac de tip drive-by: Victimele descarcă un kit de instalare fals Adobe Flash de pe site-urile infectate și lansează manual fișierul .exe, infectându-se. Cercetătorii au detectat o serie de site-uri web compromise, toate fiind de știri sau site-uri media.
Conform datelor adunate până în momentul de față, majoritatea victimelor acestor atacuri se află în Rusia. S-au observat, de asemenea, atacuri similare, dar mai puține, în Ucraina, Turcia și Germania. Acest program de ransomware a infectat dispozitivele printr-un număr de site-uri media rusești compromise. Pe baza investigației celor de la Kaspersky, acesta este un atac vizat împotriva rețelelor corporative, folosind metode similare celor utilizate în atacul ExPetr.
Experții au strâns suficiente dovezi pentru a lega atacul Bad Rabbit de atacul ExPetr, care s-a produs în luna iunie a acestui an. Potrivit analizei, o parte din codul folosit în Bad Rabbit a fost observat anterior în ExPetr.
Alte asemănări includ aceeași listă de domenii utilizate pentru atacul drive-by (unele dintre aceste domenii au fost compromise în iunie, dar nu au fost folosite), precum și aceleași tehnici utilizate pentru răspândirea malware-ului în rețelele corporative – ambele atacuri au folosit Windows Management Instrumentation Command-line (WMIC) în acest scop. Cu toate acestea, există o diferență: spre deosebire de ExPetr, Bad Rabbit nu utilizează exploatarea EternalBlue pentru infecție. Dar utilizează exploatația EternalRomance pentru a se deplasa lateral în rețeaua locală.
Experții Kaspersky consideră că același act de amenințare se află în spatele ambelor atacuri și că acest act de amenințare a regătit atacul Bad Rabbit încă din iulie 2017 sau chiar mai devreme. Cu toate acestea, spre deosebire de ExPetr, Bad Rabbit pare să nu fie un wiper, ci doar un ransomware: criptează fișierele și instalează un bootloader modificat, împiedicând astfel PC-ul să pornească în mod normal. Deoarece nu este un wiper, factorii răufăcători din spatele acestuia au potențialul de a decripta parola, care, la rândul său, este necesară pentru a decripta fișierele și pentru a permite computerului să pornească sistemul de operare.
Din păcate, experții spun că nu există nici o modalitate de a obține fișierele criptate înapoi fără a ști cheia de criptare. Cu toate acestea, dacă, din anumite motive, Bad Rabbit nu a criptat întregul disc, este posibilă recuperarea fișierelor din copiile umbră (dacă acestea au fost activate înainte de infectare). Kaspersky va continua investigația, mai multe informații putând fi obținute de pe site-ul acestora.
Cum să vă protejați de atacurile Ransomware?
Majoritatea ransomware-urilor se răspândesc prin e-mailuri de phishing, reclame rău intenționate pe site-uri web, aplicații și programe terță.
De aceea, trebuie să fiți întotdeauna precauți atunci când deschideți documentele necunoscute ptimite prin e-mail și când faceți clic pe link-urile din interiorul acestor documente, cu excepția cazului în care verificați sursa pentru a va proteja împotriva unei astfel de infecții de tip ransomware.
De asemenea, nu descărcați niciodată aplicații din surse terță parte și citiți recenzii chiar și înainte de a instala aplicații din magazinele oficiale.
Pentru a avea întotdeauna un control ferm asupra datelor dvs. valoroase, păstrați o rutină în ceea ce privește copiile de rezervă către un dispozitiv de stocare extern, care nu este întotdeauna conectat la PC.
Asigurați-vă că rulați un sistem de securitate anti-virus bun și eficient în sistemul dvs. și păstrați-l actualizat.
Comentarii