Bad Rabbit se nápadně podobá ransomwaru NotPetya

3. 11. 2017 v sekci Článek

Ransomware pojmenovaný Bad Rabbit, který v minulých dnech ochromil několik zemí, má podle bezpečnostních expertů společné prvky s červnovým útokem NotPetya. Jejich podobnost podle odborníků naznačuje, že mají společného autora.

„Vypadá to, jako kdyby se autoři poučili z předchozích chyb (NotPetya) a nově se prostřednictvím Bad Rabbit pokusili svou práci dokončit“, uvedla na svém blogu společnost Malwarebytes, která se zabývá IT bezpečností.

Bad Rabbit napáchal koncem října nejvíce škody v Rusku, kde zasáhl několik zpravodajských portálů, informační kancelář Interfax a mezi cíli byly i finanční instituce, jak uvedla Ruská centrální banka.

Útok Bad Rabbit se šířil maskovaný jako aktualizace Adobe Flash Playeru. Falešný „update“ se škodlivým kódem se nacházel na více než dvou desítkách napadených webů. Šíření útoku navzdory silnému začátku rychle ustalo. Podle Kaspersky Lab se útočníci stáhli, jakmile se infekce začala rozšiřovat a začali ji zkoumat oborníci a bezpečnostní firmy. Záhy zmizel i zdrojový škodlivý kód z napadených webů.

Experti z Kaspersky Lab upozornili nejen na podobnosti v kódu obou malwarů, ale i na další společný prvek, který nasvědčuje tomu, že za NotPetya a Bad Rabbit stojí stejní tvůrci. Nápadné je zejména to, že byly oba malwary z několika shodných zdrojů (napadených webů).

Bezpečnostní odborníci ze společnosti Intezer také poukázali na části kódu Bad Rabbit, které byly do té doby použity pouze u NotPetya. Je totiž běžnou praxí, že programátoři znovu používají části kódu, který už jednou vytvořili.

Existují ale také zásadní rozdíly – při útoku NotPetya bylo požadováno výkupné, po jehož zaplacení bylo oběti přislíbeno dešifrování dat. Naopak šifrovací proces NotPetya data prakticky zničil, takže je nešlo obnovit. V případě Bad Rabbit ransomwaru není mechanismus šifrování destruktivní. Znamená to, že jsou oběti schopny získat svá data zpět – ovšem za předpokladu, že po zaplacení výkupného vyděrači skutečně zašlou dešifrovací klíč.

Liší se také cíle obou útoků, zatímco NotPetya zasáhl především Ukrajinu a rozšířil se do 63 zemí včetně USA, Bad Rabbit se nejvíce projevil v Rusku a jeho rozšíření do dalších zemí nebylo tak citelné.

Experti ransomware Bad Rabbit nadále zkoumají a hledají další vodítka; avšak odhalit, kdo za útokem skutečně stojí, se pravděpodobně hned tak nepodaří.

Zdroj: PCMag






Tento web používá cookies. Více informací ROZUMÍM