Тази седмица бе проведена поредната рансъмуер кампания към системи по света. За разлика от случаите с WannaCry и NotPetya, Bad Rabbit нямаше тази масовост, но както и ESET без да уточнява посочи, става дума за стотици атакувани системи. По-голямата част от тези атаки бяха насочени към мрежи в Русия, но също така към България, Украйна, САЩ, Турция и др.

Атаката носи белезите на проведената по-рано тази година кампания с NotPetya, сложен тип рансъмуер, който освен, че криптира отделните файлове, криптира и диска. Оказа се, че заплахата има повече сходства с NotPetya, отколкото се предполагаше, тъй като и тя се възползва от експлойт на АНС, спомагащ за разпространението ѝ в мрежата посредством SMB. Компании свързват атаката с APT (Advanced Persistent Threat) групировката Black Energy (наричани също TeleBots и Sandworm Team), оперираща поне от седем години и известна най-вече с атаките към енергопреносната мрежа в Украйна. Оказва се обаче, че за разлика от NotPetya, който беше определен за кибероръжие, което бива използвано за саботаж, тъй като възстановяването на данните е невъзможно, при Bad Rabbit, това е възможно. Твърдят го Kaspersky Lab, цитирани от Security Week.

Както вече беше споменато, след като криптира файловете по предварително зададен критерий, заплахата криптира диска (с помощта на легитимната програма DiskCryptor) и системата се саморестартира. Специалистите са открили, че ако жертвата разполага с декриптиращ ключ, данните могат да бъдат спасени. Докато декриптиращите механизми, в случая – AES-128-CBC и RSA-2048 – не могат да бъдат разбити, Kaspersky откриват, че в някои случаи,, връщането на данните е възможно.

Оказва се, че паролата нужна за влизане в системата не е изтривана от паметта след нейното генериране, което прави възможно извличането ѝ преди процеса, който генерира паролата, dispci.exe бъде прекратен. Набирайки паролата рестартира системата и декриптира диска. Все пак, отбелязват те, шансът да бъде успешно извлечена паролата, не е голям.

Що се отнася до възстановяването на файловете се оказва, че Bad Rabbit не изтрива shadow копията. Ако жертвата активира тази функционалност преди криптирането на файловете, информацията може да се възстанови чрез Windows или с външна програма.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
2 Коментара
стари
нови оценка
Отзиви
Всички коментари