ESET проанализировала новый шифратор Bad Rabbit

Black Rabbit

Информация с сайта EsetNod32

Нашим экспертам удалось проанализировать шифратор Bad Rabbit (напоминаем, с начала атаки решения ESET детектируют его как Win32/Diskcoder.D).

1. Подтвердилась информация, что Bad Rabbit — новая версия нашумевшего вайпера Petya. Угроза шифрует файлы с помощью DiskCryptor — легальной утилиты для шифрования логических дисков, USB-накопителей и загрузочных системных разделов.

2. Для распространения Bad Rabbit злоумышленники скомпрометировали ряд популярных сайтов, внедрив в них вредоносный JavaScript.

Среди скомпрометированных площадок — сайты «Фонтанки», «Новой газеты в Санкт-Петербурге» и «Аргументов недели».

3. Интересен сценарий атаки. При входе пользователя на зараженный сайт вредоносный код передает информацию о нем на удаленный сервер. Далее логика на стороне сервера определяет, представляет ли этот пользователь интерес.

В данный момент связи с сервером нет.

4. Если пользователь «интересен» шифратору, на странице зараженного сайта появляется всплывающее окно с предложением загрузить обновление для Flash Player.

Нажав кнопку «Установить», пользователь загружает исполняемый файл, который и запускает шифратор. Далее файлы жертвы шифруются, а на экране появляется требование выкупа в размере 0,05 BTC (около 16 000 рублей).

5. Заразив рабочую станцию в организации, шифратор распространяется по корпоративной сети через протокол SMB. В отличие от Petya, Bad Rabbit не использует эксплойт EthernalBlue — вместо этого он сканирует сеть на предмет открытых сетевых ресурсов.

На зараженной машине запускается инструмент Mimikatz для сбора учетных данных. Предусмотрен жестко закодированный список логинов и паролей.

Расследование продолжается, следите за нашими новостями.


Опубликовано

в

от

Метки:

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *