Zlý králík zaútočil na Rusko a Ukrajinu

27. 10. 2017 v sekci Článek

Nový ransomware, který dostal název Bad Rabbit, se začal před pár dny šířit především v oblasti Ukrajiny a Ruska. Podle informací týmu Cisco Talos jde o virus typu červ, který se šíří stejným způsobem jako nedávný globální útok ransomwaru Nyetya. Ransomware Bad Rabbit využívá podle Kaspersky Lab k infikování krycí manévr, kdy se maskuje jako aktualizace Flash Playeru. Uživatelům, kteří navštíví infikované webové stránky, se zobrazí aktualizační okno s možnostmi „Remind later“ a „Install“. Obě varianty ale vedou k infekci.

Obětmi „zlého králíka“ se staly různé cíle napříč 15 zeměmi, včetně ruské tiskové agentury Interfax, zpravodajského portálu Fontanka, kyjevského metra nebo ukrajinského letiště v Oděse. Podle Avastu bylo nejvíce zasaženo Rusko (71 %), Ukrajina (14 %) a Bulharsko (8 %). Napadení byli po infikování přesměrováni na stránku nazvanou Bad Rabbit v síti Tor, kde bylo požadováno výkupné ve výši 0,05 Bitcoinu za odblokování zašifrovaných dat.

V případě napadení by neměly společnosti podle oborníků podnikat žádnou akci, ale kontaktovat svoji IT podporu. Podle expertů z Cisco Talos využívá Bad Rabbit vlastní verzi nástroje pro obnovu hesla Mimikatz a k šíření zneužívá SMB protokoly, aby se po místní síti mohl rozšířit i do dalších počítačů (stejně jako Nyetya). Tento útok spojuje techniku šíření škodlivého softwaru z napadených webových stránek s funkčností viru typu červ, jako tomu bylo nedávno v případě WannaCry a Nyetya. Podle dostupných informací byl malware aktivní přibližně šest hodin před tím, než byla zdrojová webová stránka odstraněna.

Bezpečnostní tým Cisco Talos doporučuje organizacím k ochraně před podobnými útoky víceúrovňový přístup: blokovat přístup ke škodlivým webům, zablokovat možné stahování malwaru a pomocí ochrany koncových bodů zastavit napadení zařízení. To všechno samozřejmě v kombinaci se zásadami správného zálohování a bezpečnostního školení uživatelů.