huis-Download software-Bad Rabbit: een nieuwe golf van aanvallen met een ransomware-virus. Hoe u uzelf kunt beschermen tegen het nieuwe Bad Rabbit ransomware-virus

Bad Rabbit: een nieuwe golf van aanvallen met een ransomware-virus. Hoe u uzelf kunt beschermen tegen het nieuwe Bad Rabbit ransomware-virus

Dinsdag werden computers in de Russische Federatie, Oekraïne, Turkije en Duitsland aangevallen door het Bad Rabbit ransomware-virus. Het virus werd snel geblokkeerd, maar computerbeveiligingsexperts waarschuwen voor de nadering van een nieuwe "cyberstorm".

Virusaanvallen begonnen midden op de dag in Oekraïne: het virus trof de computernetwerken van de metro van Kiev, het ministerie van Infrastructuur en de internationale luchthaven van Odessa. Bad Rabbit versleutelde bestanden op computers en eiste een losgeld van 0,05 bitcoin.

Even later werden het Russische persbureau Interfax en de server van het Sint-Petersburgse nieuwsportaal Fontanka aangevallen, waardoor deze twee media hun werkzaamheden moesten staken. Volgens Group-IB, een onderzoeksbureau voor cybercriminaliteit, heeft Bad Rabbit dinsdag van 13.00 tot 15.00 uur Moskouse tijd ook geprobeerd grote Russische banken aan te vallen, maar tevergeefs. ESET meldde dat virusaanvallen gebruikers uit Bulgarije, Turkije en Japan troffen.

Bad Rabbit werd verspreid onder het mom van valse Adobe Flash-updates en -installatieprogramma's. Tegelijkertijd werden de vervalsingen ondertekend met valse certificaten die certificaten van Symantec imiteerden.

Slechts een paar uur nadat de aanval begon, voerden bijna alle grootste bedrijven op het gebied van internetbeveiliging een analyse uit van het virus. Experts van ESET, Proofpoint en Kaspersky Lab ontdekten dat Bad Rabbit werd verspreid onder het mom van valse Adobe Flash-updates en -installatieprogramma's. Tegelijkertijd werden de vervalsingen ondertekend met valse certificaten die certificaten van Symantec imiteerden.

Bad Rabbit werd in één keer verspreid door verschillende gehackte sites, waarvan de meeste eigendom waren van de media. Ook werd vastgesteld dat de aanval meerdere dagen in voorbereiding was: de laatste updates van het programma vonden plaats op 19 oktober 2017.

Petya's opvolger

Dit is de derde wereldwijde ransomware-aanval dit jaar. Op 12 mei infecteerde het WannaCry-virus meer dan 300.000 computers in 150 landen. WannaCry versleutelde gebruikersbestanden en ransomware eiste $ 600 in bitcoin te betalen voor decodering. Vooral het National Health System van Groot-Brittannië, het Spaanse telecommunicatiebedrijf Telefonica, het Russische ministerie van Noodsituaties, het ministerie van Binnenlandse Zaken, de Russische Spoorwegen, Sberbank, Megafon en Vimpelcom hadden last van virusaanvallen.

De totale schade van WannaCry bedroeg meer dan $ 1 miljard. Tegelijkertijd ontvingen afpersers volgens Amerikaanse experts slechts 302 betalingen van in totaal $ 116,5 duizend.

Experts hebben vastgesteld dat WannaCry is gemaakt op basis van het EternalBlue-hackerprogramma, gemaakt door de Amerikaanse NSA en gestolen door hackers. Microsoft-president Brad Smith zei in dit verband dat de massale aanval van het WannaCry-virus mogelijk werd doordat de CIA en de National Security Agency (NSA) van de Verenigde Staten in hun eigen belang gegevens verzamelen over softwarekwetsbaarheden.

De WannaCry-aanval onthult een verontrustend verband tussen twee van de ernstigste vormen van cyberdreigingen: het optreden van staten en criminele groeperingen.

Brad Smith

Microsoft-voorzitter

Op 27 juni 2017 begonnen de NotPetya ransomware-aanvallen. Het virus verspreidde zich via links in e-mailberichten en blokkeerde de toegang van de gebruiker tot de harde schijf van de computer. Net als bij WannaCry eisten de hackers losgeld om de computer weer werkend te krijgen, maar deze keer slechts $ 300 in bitcoin.

Tientallen Russische bedrijven leden onder de NotPetya-aanval, waaronder Rosneft, Bashneft, Evraz, de Russische kantoren van Mars, Mondeles en Nivea. Computers van Kievenergo, Ukrenergo, Oschadbank, het Antonov-concern en de kerncentrale van Tsjernobyl werden aangevallen in Oekraïne. Net als WannaCry was NotPetya gebaseerd op de EternalBlue-tool die is ontwikkeld door de Amerikaanse NSA.

Volgens experts zou de auteur van de nieuwe BadRabbit-ransomware dezelfde hacker kunnen zijn of een groep hackers die NotPetya heeft geschreven: in de code van beide virussen zijn overeenkomende fragmenten gevonden. Intezer-analisten hebben berekend dat de broncode van de twee virussen 13% identiek is.

Bad Rabbit is een aangepaste versie van NotPetya met bugfixes in het coderingsalgoritme.

GroupIB bedrijf

Experts van ESET en Kaspersky Lab geven ook toe dat Bad Rabbit mogelijk een directe "opvolger" is van NotPetya, maar ze merken op dat, in tegenstelling tot de vorige twee ransomware-virussen, de EternalBlue-tool niet wordt gebruikt in Bad Rabbit.

Hoe u uzelf kunt beschermen tegen de "Bad Bunny"

Internetbeveiligingsspecialisten melden dat de verspreiding van Bad Rabbit al is stopgezet, maar adviseren om beveiligingsmaatregelen te nemen. Group-IB gaf aanbevelingen op zijn Telegram-kanaal over wat te doen zodat het virus uw bestanden niet kan versleutelen.

U moet een bestand C:\windows\infpub.dat maken en het alleen-lezen machtigingen geven<...>Daarna, zelfs in geval van infectie, worden de bestanden niet versleuteld.

GroupIB bedrijf

is gespecialiseerd in onderzoek naar cybercriminaliteit

Om grootschalige infectie te voorkomen, is het noodzakelijk om computers die dergelijke kwaadaardige bestanden hebben verzonden snel te isoleren, merkte het bedrijf op. Bovendien moeten gebruikers ervoor zorgen dat de back-ups van belangrijke netwerkknooppunten up-to-date en intact zijn.

Het wordt ook aanbevolen om besturingssystemen en beveiligingssystemen bij te werken en tegelijkertijd IP-adressen en domeinnamen te blokkeren van waaruit schadelijke bestanden zijn verspreid. Daarnaast raadt Group-IB aan om alle wachtwoorden te wijzigen in complexere en pop-upblokkering in te schakelen.

Het ergste ligt misschien in het verschiet

Twee dagen voor de 'Bad Rabbit'-aanval publiceerde de toonaangevende Noorse krant Dagbladet een lang artikel waarin werd gewaarschuwd voor de naderende 'cyberstorm van ongeëvenaarde kracht die het internet van de wereld zou kunnen afsluiten'. "Ons onderzoek toont aan dat het nu de stilte voor de krachtigste storm is. Een cyberorkaan nadert", citeerde Dagbladet een bericht van het Israëlische virusbeschermingsbedrijf Check Point.

Volgens Check Point bouwen onbekende hackers momenteel een gigantisch Reaper-botnet, dat op internet aangesloten apparaten zoals routers en zelfs camera's infecteert. De specialisten van het bedrijf benadrukken dat de hackers zich in dit geval richtten op het "Internet of Things" - "slimme" apparaten die zijn verbonden met het World Wide Web (van gloeilampen, deursloten, bewakingscamera's tot koelkasten en koffiezetapparaten) die kunnen worden bestuurd via mobiele applicaties of internet.

De meeste van deze apparaten (op internet aangesloten gloeilampen, videocamera's, enz.) hebben enorme kwetsbaarheden. Goederen worden meestal geleverd met de achternaam van de gebruiker en een standaardwachtwoord, en de software wordt zelden bijgewerkt. Daarom zijn ze erg kwetsbaar voor aanvallen van hackers.

gespecialiseerd in virusbescherming

Eind september ontdekten de specialisten van het bedrijf dat een groot aantal van dergelijke objecten door hackers "gerecruteerd" waren om het virus naar andere dingen te verspreiden. Het virus verspreidt zich dus sneller en heeft al miljoenen apparaten over de hele wereld geïnfecteerd, waaronder de meeste D-Link-, Netgear- en Linksys-routers, evenals met internet verbonden bewakingscamera's van bedrijven zoals Vacron, GoAhead en AVTech.

Het Reaper-botnet heeft tot nu toe geen activiteit laten zien, maar het Chinese virusbeschermingsbedrijf Qihoo 360 waarschuwt dat het virus op elk moment opnieuw kan worden geactiveerd, wat resulteert in het afsluiten van grote delen van internet.

Het heeft al de computers van drie Russische media besmet en het is waarschijnlijk ook dat het problemen heeft veroorzaakt met informatiesystemen in Oekraïne.

Naar bladwijzers

In de middag van 24 oktober waren de websites van het persbureau Interfax en de Sint-Petersburgse krant Fontanka open: vertegenwoordigers van beide meldden dat de reden een virusaanval was. Later, over de hackeraanval op het Oekraïense ministerie van Infrastructuur, de metro van Kiev en de luchthaven van Odessa.

Het is nog niet zeker of al deze aanvallen met elkaar te maken hebben, maar ze gebeurden allemaal op ongeveer hetzelfde moment - ze werden bekend met een verschil van enkele uren. Op zijn minst werden de Russische media aangevallen door hetzelfde coderingsvirus, zegt Group-IB, en verduidelijkt dat staatsinstellingen in Oekraïne ook het slachtoffer kunnen worden.

De makers van het virus zelf noemen het Bad Rabbit. TJ onthult wat er bekend is over het virus.

  • De Bad Rabbit-infectie doet denken aan mei 2017: het trof vooral bedrijven in Rusland en Oekraïne, het virus verspreidde zich razendsnel, hackers eisten losgeld. Maar Group-IB zegt dat Bad Rabbit zelf niet is zoals Petya.A of WannaCry - nu bestuderen experts geïnfecteerde computers;
  • Een virus infecteert een computer door bestanden erop te versleutelen. Je hebt er geen toegang toe. Een gedetailleerd bericht met instructies wordt weergegeven op het computerscherm: een foto van voorbeelden van dergelijke geïnfecteerde computers werd gepubliceerd in het Group-IB Telegram-kanaal;

Foto Groeps-IB

  • Volgens de instructies hoeft u alleen een wachtwoord in te voeren om de bestanden te decoderen. Maar om het te krijgen, moet je een lange weg gaan. Ga eerst naar een speciale site op caforssztxqzf2nm.onion op het dark web - hiervoor heb je de Tor-browser nodig. Aan de foto's te zien die door Group-IB zijn gepubliceerd, is de site overal hetzelfde;
  • De site vermeldt ook de naam van het virus - Bad Rabbit. Om een ​​wachtwoord te krijgen om gegevens te decoderen, vereisen hackers dat u een "persoonlijke installatiecode" invoert - een lang cijfer uit een bericht dat op een computerscherm wordt weergegeven. Daarna verschijnt het adres van de bitcoin-portemonnee waarnaar u geld wilt overmaken;
  • Volgens de website van Bad Rabbit eist de ransomware een losgeld van 0,05 BTC voor elke computer. Tegen de wisselkoers van 24 oktober is dit ongeveer 283 dollar of 16,5 duizend roebel (Petya.A eiste ook ongeveer 300 dollar);
  • Nogmaals, volgens de viruswebsite geeft de ransomware slechts twee dagen (48 uur) om het oorspronkelijke losgeld te betalen. Na het verstrijken van deze periode zal de prijs voor het decoderen van bestanden stijgen, hoeveel is onbekend;
  • Het was niet mogelijk om het adres van de bitcoin-portemonnee waarop de hackers geld ontvangen te controleren met behulp van de beschikbare codes van de Group-IB-foto's. Misschien zijn ze al gebruikt, misschien hebben we een fout gemaakt - de code is tenslotte 356 tekens lang;

Bad Rabbit-coderingsvirus of Diskcoder.D. valt bedrijfsnetwerken van grote en middelgrote organisaties aan en blokkeert alle netwerken.

Bad Rabbit of "slecht konijn" kan nauwelijks een pionier worden genoemd - het werd voorafgegaan door de Petya- en WannaCry-coderingsvirussen.

Slecht konijn - wat voor soort virus?

Het distributieschema van het nieuwe virus werd onderzocht door experts van het antivirusbedrijf ESET en ontdekte dat Bad Rabbit de computers van de slachtoffers binnendrong onder het mom van een Adobe Flash-update voor de browser.

Het antivirusbedrijf is van mening dat de Win32/Diskcoder.D-encoder, genaamd Bad Rabbit, een aangepaste versie is van Win32/Diskcoder.C, beter bekend als Petya/NotPetya, die in juni de IT-systemen van organisaties in verschillende landen trof. Het verband tussen Bad Rabbit en NotPetya wordt aangegeven door toevalligheden in de code.

De aanval maakt gebruik van het Mimikatz-programma, dat logins en wachtwoorden op de geïnfecteerde machine onderschept. Ook in de code zijn er al geregistreerde logins en wachtwoorden voor pogingen om administratieve toegang te verkrijgen.

De nieuwe malware repareert bugs in bestandscodering - de code die in het virus wordt gebruikt, is ontworpen om logische stations, externe USB-drives en cd/dvd-images te coderen, evenals opstartbare systeemschijfpartities. Decoderingsexperts zullen dus veel tijd moeten besteden om het geheim van het Bad Rabbit-virus te ontrafelen, zeggen experts.

Het nieuwe virus werkt volgens experts volgens het standaardschema voor cryptografen - het komt vanuit het niets in het systeem en codeert bestanden, voor de decodering waarvan hackers losgeld in bitcoins eisen.

Het ontgrendelen van één computer kost 0,05 bitcoin, wat tegen de huidige koers ongeveer $ 283 is. Als het losgeld is betaald, sturen de oplichters een speciale sleutelcode waarmee u de normale werking van het systeem kunt herstellen en niet alles kunt verliezen.

Als de gebruiker niet binnen 48 uur geld overmaakt, wordt het losgeldbedrag verhoogd.

Maar het is de moeite waard om te onthouden dat het betalen van het losgeld een valstrik kan zijn die niet garandeert dat de computer wordt ontgrendeld.

ESET merkt op dat er momenteel geen verbinding is tussen de malware en de externe server.

Het virus trof Russische gebruikers het meest en bedrijven in Duitsland, Turkije en Oekraïne in mindere mate. De verspreiding vond plaats via besmette media. Bekende geïnfecteerde sites zijn al geblokkeerd.

ESET is van mening dat de aanvalsstatistieken grotendeels consistent zijn met de geografische verspreiding van sites die kwaadaardig JavaScript bevatten.

Hoe jezelf te beschermen?

Experts van Group-IB, die zich bezighoudt met het voorkomen en onderzoeken van cybercriminaliteit, gaven aanbevelingen over hoe je jezelf kunt beschermen tegen het Bad Rabbit-virus.

Om u te beschermen tegen een netwerkplaag, moet u met name een C:\windows\infpub.dat-bestand op uw computer maken en er alleen-lezen-rechten voor instellen in de beheersectie.

Deze actie blokkeert de uitvoering van bestanden en alle documenten die van buitenaf komen, worden niet versleuteld, zelfs niet als ze geïnfecteerd zijn. U moet een reservekopie maken van alle waardevolle gegevens, zodat u ze in geval van infectie niet kwijtraakt.

Experts van Group-IB adviseren ook om ip-adressen en domeinnamen te blokkeren waarvandaan kwaadaardige bestanden werden verspreid, en om pop-upvensters voor gebruikers te blokkeren.

We raden u ook aan computers in een inbraakdetectiesysteem snel te isoleren. Pc-gebruikers moeten ook de actualiteit en integriteit van back-ups van belangrijke netwerkknooppunten controleren en besturingssystemen en beveiligingssystemen bijwerken.

"In termen van wachtwoordbeleid: verbied door instellingen voor groepsbeleid de opslag van wachtwoorden in LSA Dump in leesbare tekst. Verander alle wachtwoorden in complexe", voegde het bedrijf eraan toe.

voorgangers

Het WannaCry-virus verspreidde zich in mei 2017 naar minstens 150 landen over de hele wereld. Hij versleutelde de informatie en eiste volgens verschillende bronnen losgeld van 300 tot 600 dollar.

Meer dan 200 duizend gebruikers hadden er last van. Volgens één versie namen de makers de Amerikaanse NSA-malware Eternal Blue als basis.

De wereldwijde aanval van het Petya-ransomwarevirus op 27 juni trof de IT-systemen van bedrijven in verschillende landen over de hele wereld, waardoor Oekraïne in grotere mate werd getroffen.

De computers van olie-, energie-, telecommunicatie-, farmaceutische bedrijven en overheidsinstanties werden aangevallen. De cyberpolitie van Oekraïne verklaarde dat de aanval van het ransomware-virus plaatsvond via het programma "M.E.doc".

Materiaal opgesteld op basis van open bronnen

In contact met

klasgenoten

Onlangs begon een grootschalige hackeraanval op het grondgebied van Rusland en Oekraïne, Turkije, Duitsland en Bulgarije met het nieuwe Bad Rabbit-coderingsvirus, ook bekend als Diskcoder.D. Het virus valt momenteel bedrijfsnetwerken van grote en middelgrote organisaties aan en blokkeert alle netwerken. Vandaag zullen we je vertellen wat deze Trojan is en hoe je jezelf ertegen kunt beschermen.

Het Bad Rabbit-virus (Bad Rabbit) werkt volgens het standaardschema voor ransomware: wanneer het het systeem binnenkomt, codeert het bestanden voor decodering waarvan hackers 0,05 bitcoin nodig hebben, wat $ 283 (of 15.700 roebel) is. Dit wordt gerapporteerd in een apart venster, waar u de gekochte sleutel daadwerkelijk moet invoeren. De dreiging is van het type Trojan.Win32.Generic, maar bevat ook andere componenten zoals DangerousObject.Multi.Generic en Ransom.Win32.Gen.ftl.

Het is nog moeilijk om alle besmettingsbronnen volledig op te sporen, maar experts zijn er nu mee bezig.

Vermoedelijk komt de dreiging de pc binnen via geïnfecteerde sites die geconfigureerd zijn om om te leiden, of onder het mom van valse updates voor populaire plug-ins zoals Adobe Flash. De lijst met dergelijke sites wordt alleen maar groter.

Er moet meteen worden opgemerkt dat op dit moment alle antiviruslaboratoria zijn begonnen met het analyseren van dit Trojaanse paard. Als u specifiek zoekt naar informatie over het verwijderen van het virus, dan bestaat het als zodanig niet. Laten we de standaardtips maar meteen terzijde schuiven, zoals een back-up van het systeem maken, een retourpunt, bepaalde bestanden verwijderen. Als je geen saves hebt, dan werkt al het andere niet, de hackers hebben deze momenten berekend, vanwege de specificatie van het virus.

Het is mogelijk dat binnenkort door amateurs gemaakte decoders voor Bad Rabbit worden verspreid - of u deze programma's gebruikt of niet, is uw eigen zaak. Zoals de eerdere ransomware Petya aantoonde, helpt dit niet veel.

Maar om de dreiging te waarschuwen en te verwijderen terwijl je probeert de pc binnen te komen, is echt. Kaspersky en ESET-laboratoria waren de eersten die reageerden op het nieuws over de virusepidemie, die penetratiepogingen nu al blokkeert.

De Google Chrome-browser begon onder meer geïnfecteerde bronnen te identificeren en te waarschuwen voor hun gevaar. Dit is wat u moet doen om u allereerst tegen BadRabbit te beschermen:

1. Als u Kaspersky, ESET, Dr.Web of andere bekende analogen gebruikt voor bescherming, moet u de databases bijwerken. Voor Kaspersky moet u onder andere "Activity Monitoring" (System Watcher) inschakelen en in ESET handtekeningen toepassen met update 16295.

2. Als u geen antivirusprogramma's gebruikt, moet u de uitvoering van de bestanden C:\Windows\infpub.dat en C:\Windows\cscc.dat blokkeren. Dit wordt gedaan met behulp van de Groepsbeleid-editor of het AppLocker-programma voor Windows.

3. Indien mogelijk is het de moeite waard om de uitvoering van de service uit te schakelen - Windows Management Instrumentation (WMI). In versie 10 heet de service "Windows Management Instrumentation". Voer met de rechterknop de eigenschappen van de service in en selecteer de modus "Uitgeschakeld" in het "Opstarttype".

Zorg ervoor dat u een back-up van uw systeem maakt. Idealiter zou een kopie altijd op een mountable medium moeten worden bewaard.

Tot slot, het belangrijkste om op te merken is dat je geen losgeld moet betalen, wat je ook hebt versleuteld. Dergelijke acties zetten oplichters alleen maar aan tot nieuwe virusaanvallen. Houd de forums van antivirusbedrijven in de gaten, waarvan ik hoop dat ze binnenkort het Bad Rabbit-virus zullen bestuderen en de juiste oplossing zullen vinden. Zorg ervoor dat u de bovenstaande stappen volgt om uw besturingssysteem te beschermen. In het geval van problemen bij de implementatie, kunt u zich afmelden in de opmerkingen.

Het Bad Rabbit ransomware-virus bereikte de grootste Russische banken en testte ook het beveiligingssysteem van de Centrale Bank van Rusland op kracht. Volgens een onderzoeksbureau voor cybercriminaliteit probeerde het virus in te breken in het systeem van de 20 grootste banken. Over hoe financiële instellingen omgingen met de aanvallen van het "slechte konijn" - in het materiaal "360".

Volgende nieuws

De Centrale Bank van Rusland heeft een hackeraanval door het Bad Rabbit-virus geregistreerd op een aantal Russische banken, blijkt uit een persbericht van de toezichthouder. Tegelijkertijd werden de gegevens van financiële organisaties niet beïnvloed door de acties van de encryptor, de biljetten van de Centrale Bank.

Een onderscheidend kenmerk van deze kwaadaardige software is de mogelijkheid om wachtwoorden van gebruikers van geïnfecteerde computers te verzamelen, evenals het downloaden van aanvullende kwaadaardige modules met behulp van de verkregen gegevens. Aanvallers sturen een e-mail met een bijgevoegd virus, door bedrog of vertrouwensbreuk moedigen ze de gebruiker aan om een ​​kwaadaardig bestand te openen, waarna de schadelijke software wordt geactiveerd

— de boodschap van de Centrale Bank.

De monetaire toezichthouder waarschuwt dat cyberaanvallen kunnen hervatten. Medewerkers van de Centrale Bank hebben de banken al aanbevelingen gestuurd over hoe ze kwaadaardige software kunnen detecteren en hoe ze deze kunnen bestrijden. Daarnaast is de afdeling van plan om de cyberaanvallen van Bad Rabbit in Rusland te analyseren en mechanismen te ontwikkelen om te beschermen tegen het ransomware-virus.

Banken onder het wapen

De dag ervoor probeerde het encryptievirus Bad Rabbit vanuit de top twintig Russische banken aan te vallen. De aanvallen waren echter niet succesvol, zegt Ilya Sachkov, CEO van Group-IB, een onderzoeksbureau voor cybercriminaliteit. Analisten van Group-IB hebben pogingen geregistreerd om de computersoftware van een aantal Russische banken te infecteren met een virus dat gebruikmaakt van een door het bedrijf ontwikkeld inbraakdetectiesysteem.

“Deze dossiers kwamen daar dinsdag van 13.00 uur tot 15.00 uur Moskouse tijd aan. Dat wil zeggen, ze probeerden dit virus ook naar banken te verspreiden”, citeerde RIA Novosti Sachkov. Welke bankorganisaties werden aangevallen door het 'slechte konijn', de vertegenwoordigers van het bedrijf bleven liever stil.

De persdienst van de Rosselkhozbank-redactie "360" zei dat de bank geen pogingen registreerde om cyberaanvallen op haar informatiebronnen uit te voeren. De vertegenwoordiger van de financiële instelling merkte ook op dat de bank "de informatiebeveiliging van informatieactiva controleert en bewaakt, en ook speciale aandacht besteedt aan het verschijnen van verdachte virus- en netwerkactiviteit."

Een vertegenwoordiger van de Raiffeisenbank merkte op dat alle bankdiensten gewoon werken. “We zijn ons bewust van de dreiging, alle nodige maatregelen zijn genomen. De Raiffeisenbank besteedt traditioneel veel aandacht aan cyberbeveiligingskwesties, zowel wat betreft de interne infrastructuur als de dienstverlening aan klanten”, zegt Aleksandra Sysoeva, perssecretaris van de bank, tegen 360.

Het banksysteem slaagde erin om de klap van Bad Rabbit af te weren, aangezien hackeraanvallen op financiële organisaties dagelijks worden uitgevoerd, vertelde Sergei Nikitin, plaatsvervangend hoofd van het Group-IB computer forensisch laboratorium, aan 360.

Banken worden elke dag geconfronteerd met cyberaanvallen, dus alle brieven en bestanden van derden worden daar gecontroleerd via de "sandbox" (een speciaal speciale omgeving voor het veilig uitvoeren van computerprogramma's - "360"). Als de banken de aanval echter niet afweren, zou dit leiden tot gegevensverlies, dat vaak onmogelijk te decoderen is, zelfs nadat het geld aan de oplichters is betaald.

- Sergej Nikitin.

De expert merkte op dat dit type virus niet bedoeld is om geld van de bank te stelen, omdat het alleen gespecialiseerd is in het versleutelen van informatie over gebruikers.

volger nietMet betrekking tottya


RIA Novosti / Vladimir Trefilov

De nieuwe ransomware is een aangepaste versie van het NotPetya-virus dat in juni de IT-systemen van organisaties in verschillende landen trof. De connectie tussen BadRabbit en NotPetya wordt aangegeven door toevalligheden in de code. Dit suggereert dat ze mogelijk dezelfde maker hebben, vertelde Vladimir Ulyanov, hoofd van het analytische centrum Zecurion, aan 360.

Deze virussen behoren tot dezelfde klasse. Tegelijkertijd, de encryptorNotPetya was ambitieuzer omdat het misbruik maakte van kwetsbaarheden in het W-besturingssysteemindows, en het "slechte konijn" biedt aan om het virus te downloaden onder het mom van een speler. Ik denk dat het onwaarschijnlijk is dat Bad Rabbit een sterke distributie krijgt in Rusland, omdat er al bescherming tegen is ontwikkeldin alle antivirusbedrijven waarvan de applicaties worden gebruikt door banken en andere organisaties

— Vladimir Oeljanov.

De aanval maakt gebruik van het Mimikatz-programma, dat logins en wachtwoorden op de geïnfecteerde machine onderschept. Ook in de code zijn er al geregistreerde logins en wachtwoorden voor pogingen om administratieve toegang te verkrijgen. Voor het ontsleutelen van bestanden eisen aanvallers 0,05 bitcoins, wat in het huidige tempo ongeveer gelijk staat aan 283 dollar of 15,7 duizend roebel.

Volgens een rapport van Kaspersky Lab heeft het BadRabbit ransomware-virus bijna 200 cyberaanvallen over de hele wereld geprobeerd. “De meeste slachtoffers bevinden zich in Rusland. Een kleiner aantal aanvallen werd waargenomen in andere landen - Oekraïne, Turkije en Duitsland", merkte het bedrijf op.

Om geen slachtoffer te worden van het "slechte konijn", is het noodzakelijk om de uitvoering van de bestanden C:\windows\infpub.dat, C:\Windows\cscc.dat te verbieden en ze in te stellen op alleen-lezen rechten, adviseerde gebruikers bij Kaspersky Lab. Bovendien wordt aanbevolen om de computers die in tickets worden vermeld onmiddellijk te isoleren (systeemgebeurtenissen voor inbraakdetectie), en om de relevantie en integriteit van back-upkopieën van belangrijke netwerkknooppunten te controleren.

Volgende nieuws

Gerelateerde berichten: