Bezpečnostné varovanie V20171025-01V

Dôležitosť Vysoká
Klasifikácia TLP WHITE
CVSS Skóre

 

Identifikátor
Bad Rabbit ransomware

 

Popis

Viacero bezpečnostných firiem upozornilo na aktívne prebiehajúcu kampaň využívajúcu
nový ransomware Bad Rabbit. Malware sa prvotne šíri pomocou sociálneho inžinierstva,
formou web stránok ponúkajúcich falošnú aktualizáciu na Adobe Flash player, resp. drive-
by útokom, ktorý škodlivý program stiahne na používateľské PC.

Prvotné vykonanie samotného škodlivého kódu vyžaduje používateľskú interakciu –
spustenie stiahnutého programu, ako aj povolenie vykonávať spustený program
s administrátorskými privilégiami (UAC).

Po úspešnom infikovaní systému vykoná škodlivý kód nasledovné:
1. šírenie lokálnou sieťou cez SMB protokol, využívajúc slovníkové heslá
a prihlasovacie údaje zachytené na napadnutom PC,
2. naplánuje zašifrovanie používateľských súborov pomocou 2048 bitového RSA klúča
pri najbližšom štarte OS,
3. naplánuje reštartovanie OS.

Je možné, že po zašifrovaní súborov modifikuje malware aj štartovaciu rutinu PC (MBR), na
zobrazenie správy o tom, ako súbory dešifrovať.

Indikátory – na sieti: malvér pristupuje na adresy: 185.149.120.3, hxxp://1dnscontrol.com
Indikátory – na počítači: nové súbory v C:\Windows s náhodným menom (napr.
561D.tmp), súbory C:\Windows\dispci.exe, C:\Windows\cscc.dat, C:\Windows\infpub.dat,
plánované úlohy s menami viserion_, rhaegal, drogon.
Indikátory pre anti malware software (SHA256 hashe):
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da ,
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 ,
682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806 ,
0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 ,
579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 ,
2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035 ,
301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347

 

Dátum prvého zverejnenia varovania
25. 10. 2017

 

Zasiahnuté systémy
Útok na používateľov OS Windows

 

Následky
Vykonanie škodlivého kódu, strata prístupu ku dátam (ransomware).

 

Odporúčania
Nespúšťať programy samovolne stiahnuté z internetu (drive-by attack).
Vyhnúť sa používaniu privilegovaného režimu. Nespúšťať neznáme programy stiahnuté
z internetu.
Odporúčame poučiť používateľov, že ak webový prehliadač ponúkne aktualizáciu flash
player a používateľ si nie je istý, či je legitímna, aby sa obrátili na systémového
administrátora alebo aktívne aktualizovali flash návštevou domovskej stránky Adobe.
V prípade, že v organizácii identifikujete napadnuté PC, v žiadnom prípade ho
nereštartujte. Buď deaktivujte naplánované úlohy (spôsobujúce reštart a šifrovanie), alebo
počítač vypnite a súbory z neho zálohujte priamym prístupom na disk pomocou iného
počítača.
V prípade, že si všimnete PC, ktoré práve šifruje súbory, vypnite počítač, aby ste predišli
ďalším stratám, alebo (ak je to možné) prepnite ho do stavu hibernácie a vyhľadajte
pomoc forenzných analytikov.

 

Zdroje
http://blog.talosintelligence.com/2017/10/bad-rabbit.html?m=1
https://nakedsecurity.sophos.com/2017/10/24/bad-rabbit-ransomware-outbreak/
https://securelist.com/bad-rabbit-ransomware/82851/

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy