Bad Rabbit: Egy új zsarolóvírus van terjedőben

Az idei két nagy zsarolóvírus (ransomware) kampányt követően (WannaCry, ExPetr) egy újabb hasonló kártékony kód fertőzését észlelték. Az új malware-t a biztonsági kutatók "BadRabbit"-ként emlegetik a zsaroló üzenetben szereplő "darknet"-es weboldal hivatkozás alapján.

A BadRabbit mögött álló kiberbűnözők 0.05 bitcoin-t követelnek a letitkosított fájlok visszaállításáért.

A támadók több orosz nyelvű hírportálba injektáltak káros kódot, mely célzottan (tehát nem minden látogató számára) Flash Player frissítés letöltését ajánlja. Az áldozatok a megfelelő gombra kattintva letöltöttek egy hamis Adobe Flash telepítőt, amit aztán saját maguk futtattak. A fertőzés tehát erős felhasználói interakciót követően kerül az áldozat rendszerére. Ezt követően történik meg bizonyos kiterjesztésű fájlok titkosítása.

Jelenlegi ismeretek szerint a káros tartalom terjesztéséért több orosz médiát ért támadás a felelős. Az Odessza nemzetközi repülőtér is az információs rendszere elleni kibertámadásról számolt be, azonban jelenleg még nem tisztázott, hogy ugyanazon fertőzésről van-e szó.

A jelentések alapján a legtöbb tényleges ransomware fertőzést Oroszországban tapasztalták, de ukrán, török, bolgár és német áldozat is ismert. Mivel a letöltő szkript lekéri a potenciális áldozat több adatát (pl. böngésző verzió, süti, látogatott oldal domainje), ezért a támadás célzottságát sem lehet kizárni.

Javaslatok

Amennyiben bekövetkezett a fertőzés, a GovCERT nem javasolja a váltságdíj megfizetését, mert nincs rá semmilyen garancia, hogy valóban feloldásra kerülnek a titkosított dokumentumok, továbbá az így kifizetett összegek kiberbűnözői csoporthoz kerülhetnek. Sikeres támadás esetén szükséges a rendszer újratelepítése és az adatok visszaállítása a biztonsági mentésből.

  • Tiltsa a bejövő SMB kapcsolatokat
  • Használja a Windows Credential Guard funkcióját (további információ: https://docs.microsoft.com/hu-hu/windows-server/security/security-and-assurance )
  • Monitorozza az ütemezett feladatokat, és folyamat létrehozásokat
  • Hozza létre a c:\windows\infpub.dat && c:\windows\cscc.dat fájlokat és távolítsa el a hozzájuk tartozó összes jogosultságot
  • Ahol lehetséges tiltsa le a WMI-t.
  • Ellenőrizze, hogy a felhasználói jogosultságok a lehető legalacsonyabbak legyenek a felhasználó részére.
Technikai információk

A hamis Flash frissítések elérési útja:

  • 1dnscontrol[.]com/flash_install.php
  • 1dnscontrol[.]com/install_flash_player.exe

Terjedés:

  • Lokálisan képes terjedni SMB-n és WebDAV-on keresztül

Tiltandó, az alábbiak futtatása:

  • C:\WINDOWS\cscc.dat
  • C:\Windows\infpub.dat 

Yara szabály a detektáláshoz:

https://pastebin.com/Y7pJv3tK

A kompromittált, káros kódot terjesztő oldalak listája:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

Hash-ek:

  • install_flash_player.exe: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
  • infpub.dat: 
  • 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
  • cscc.dat (dcrypt.sys): 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 
  • dispci.exe: 
  • 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Registry bejegyzések:

  • HKLM\SYSTEM\CurrentControlSet\services\cscc
  • HKLM\SYSTEM\CurrentControlSet\services\cscc\Type 1
  • HKLM\SYSTEM\CurrentControlSet\services\cscc\Start 0
  • HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl 3
  • HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath cscc.dat
  • HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName Windows Client Side Caching DDriver
  • HKLM\SYSTEM\CurrentControlSet\services\cscc\Group Filter
  • HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService FltMgr
  • HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64 1

A zsarolóvírus üzenet:

"Oops! Your files have been encrypted. If you see this text, your files are no longer accessible.

You might have been looking for a way to recover your files.Don't waste your time. No one will be able to recover them without our decryption service. We guarantee that you can recover all your files safely. All you need to do is submit the payment and get the decryption password.

Visit our web service at caforssztxqzf2nm.onion Your personal installation key#1:"

Hivatkozások

Cikk
Szabad címkék