NotPetya-stil skadlig programvara infekterar Kievs tunnelbana, Odessas flygplats och ryska medier, krävande bitcoin för dekrypteringsnyckeln

A still from the film Donnie Darko directed by Richard Kelly

Malware

Dålig Kanin: Game of Thrones-referenser ransomware träffar Europa

NotPetya-stil skadlig programvara infekterar Kievs tunnelbana, Odessas flygplats och ryska medier, krävande bitcoin för dekrypteringsnyckeln

@alexhern

Onsdagen den 25 oktober 2017 11.06 BST

Senast ändrad onsdagen den 25 oktober 2017 12.13 BST

En stor ransomware attacken drabbar datorer i Ryssland och Ukraina, med likheter till NotPetya utbrott som orsakas miljarder pounds av skador i juni.

Den självbetitlade “Dålig Kanin” malware krypterar data på infekterade maskiner innan man kräver en betalning av 0,05 bitcoin (£250) för dekrypteringsnyckeln. Lösen efterfrågan är formulerade på samma sätt som i juni utbrott, och forskare vid ryska säkerhetsföretaget Kaspersky säga att skadliga program använder “metoder liknande dem som används för” under NotPetya attack.

Bland de berörda organisationerna är Kievs tunnelbana, ryska medier organisation Interfax och Odessas flygplats. Interfax var tvungen att publicera sin Facebook-sida under strömavbrott, eftersom dess servrar togs offline under ett antal timmar.

Ovanligt, skadlig kod är kryddade med populärkulturella referenser, inklusive namnen på två drakar från Game of Thrones och karaktär Grå Masken används som namn för schemalagda aktiviteter. En lista med lösenord som skadlig kod försöker samtidigt som man försöker att sprida innehåller också “kärlek”, “kön”, “gud” och “hemliga”, som kallades “de fyra vanligaste lösenord” av 1995 års film Hackare. I själva verket är de fyra vanligaste lösenord är 123456, 123456789, qwerty, och 12345678.

Unusually, the malware’s code is peppered with pop culture references including the names of two dragons from Game of Thrones.

“Våra observationer tyder på att detta varit en riktad attack mot företagets nätverk,” Kaspersky forskare, igen vilket tyder på en koppling mellan detta utbrott och i juni. Den NotPetya utbrott började genom lanseringen av en nedsatt version av ett populärt ukrainska bokföringsprogram, sprider sig automatiskt i hela företagets nätverk.

Den starkaste länken mellan de två attentaten är baserad på web-servrar som används för att distribuera den ursprungliga programvaran. Kaspersky forskare Costin Raiu berättade tidningen Forbes att ett nätverk av hackade sajter ursprungligen kopplat till NotPetya i juli var nu används för att vara värd sekundära distributionskanaler för Dålig Kanin.

Men de två attacker innehåller ett antal anmärkningsvärda skillnader, liksom. Där NotPetya var riktad till Ukraina, Dålig Kanin verkar i första hand ha drabbat ryska företag. Det var från början seedade via en falsk Adobe Flash uppdatering som släpps ut på minst tre hackade ryska medier, och från den första fotfäste har spridit sig genom Ryssland och Ukraina, liksom andra östeuropeiska länder, inklusive Polen och Bulgarien.

Attacken är också olika från NotPetya i sitt läge av distribution. Den falsk Adobe Flash uppdatering som först installerar det behöver inte använda någon programvara utnyttjar för att köra i stället förlita sig på gammaldags knep för att övertyga användaren att öppna det själva. Också, när du har installerat programvaran inte använder den berömda EternalBlue utnyttja, som tros ha utvecklats av NSA innan den blir stulen av en hacka grupp som kallas Skuggan Mäklare, för att sprida sig inom företagets nätverk. Detta beslut kan ha begränsad spridning av utbrottet.

Kanske den största skillnaden mellan de två är att Dålig Kanin verkar inte vara en “torkar”, som var misstänkt för NotPetya. Att hästen var i princip omöjligt att ta bort, även för användare som försökte faktiskt betala lösen, vilket leder till misstankar om att det hade skapat mer för att orsaka skada och förstörelse än ta upp inkomster för dess utvecklare. Dålig Kanin, däremot, enligt uppgift inte dekryptera hårddisken på inlägg i det korrekta lösenordet.

STORBRITANNIENS National Cyber Security Centre sade i ett uttalande, “Vi är medvetna om en it-incidenter som påverkar ett antal länder runt om i världen. Den NCSC har inte fått några rapporter om att STORBRITANNIEN har drabbats av denna senaste malware attack. Vi övervakar situationen och att arbeta med våra partners för att bättre förstå hotet”.

Carl Leonard, chefsanalytiker på Forcepoint, sade: “Vi kommer att fortsätta att se massiva attacker med ekonomiska, de anställdas och allmänhetens säkerhet förgreningar. Och de metoder som kommer att fortsätta att utvecklas, bland annat undvikande metoder för att dölja sin verksamhet samt sina sanna avsikter.

“Tricket blir att bättre förstå det mänskliga poäng i dessa attacker. De avsikter eller motiv av angriparna kan variera stort sett inklusive ekonomisk vinning, hämnd, politisk eller hacktivism. Att förstå dessa intentioner kan bidra till att forma vår säkerhet strategier.”

Inledningsvis några säkerhetsprodukter som kan stoppa utbrottet: ett urval av skadlig kod som laddas upp till analys service VirusTotal visade bara fyra produkter på rätt sätt flaggning det lika skadlig som i 4:30 på tisdag, däribland sådana som görs av Kaspersky och Symantec. Då utbrottet var verkligen på gång. Från och med onsdag morgon, nästan två tredjedelar av uppdaterade säkerhet produkter på rätt sätt identifiera de malware.

Användare utan att arbeta antivirus skydd kan också i uppgift att skydda sig med ett “vaccin” genom att skapa en fil på sin dator innan malware gör.

Amit Serper’
(@0xAmit)

Vaccination för Ukraina i omgång 2? Vill stanna #badrabbit?
Skapa en fil som heter c:windowsinfpub.dat och ta bort alla skrivrättigheter för det. Detta bör hålla skadlig kod från att kryptera. Testa det nu… pic.twitter.com/3MSSH8WKPb

24 oktober 2017

Regeringen uppmanas att låta dataintrång offer kraft ersättning