NotPetya-stil malware infiserer Kiev metro system, Odessa flyplass og russisk media, krevende bitcoin for dekrypteringsnøkkelen

A still from the film Donnie Darko directed by Richard Kelly

Malware

Dårlig Kanin: Game of Thrones-referering ransomware treff Europa

NotPetya-stil malware infiserer Kiev metro system, Odessa flyplass og russisk media, krevende bitcoin for dekrypteringsnøkkelen

@alexhern

Onsdag 25 oktober 2017 11.06 BST

Sist endret onsdag 25 oktober 2017 12.13 BST

En stor ransomware angrep er å treffe datamaskiner i Russland og Ukraina, som bærer likheter til NotPetya utbrudd som skyldes milliarder av pund av skade i juni.

Selv-med tittelen “Dårlig Kanin” skadelig programvare krypterer data på infiserte maskiner før en krevende betaling på 0,05 bitcoin (£250) for dekrypteringsnøkkelen. Løsepenger etterspørselen er formulert på samme måte som for juni utbrudd, og forskere ved det russiske sikkerhetsselskapet Kaspersky si at den skadelige programvaren bruker “metoder som ligner de som brukes under NotPetya angrep.

Blant de berørte organisasjoner er Kiev metro system, russisk media organisasjon Interfax og Odessa flyplass. Interfax ble tvunget til å publisere sin Facebook side i løpet av strømbrudd, siden den servere ble tatt i frakoblet modus for en rekke av timer.

Uvanlig, malware kode er pepret med pop-kultur referanser inkludert navnene på to drager fra Game of Thrones og tegnet Grå Ormen brukt som navn for planlagte oppgaver. En liste over passord som malware prøver mens du forsøker å spre inneholder også “kjærlighet”, “sex”, “gud” og “secret”, som ble kalt “fire mest vanlige passord” av 1995 film Hackere. Faktisk, de fire mest vanlige passordene er 123456, 123456789, qwerty, og 12345678.

Unusually, the malware’s code is peppered with pop culture references including the names of two dragons from Game of Thrones.

“Våre observasjoner tyder på at dette er et målrettet angrep mot bedriftens nettverk,” Kaspersky forskerne sa, igjen noe som tyder på en sammenheng mellom dette utbruddet og juni. Den NotPetya utbruddet begynte gjennom utgivelsen av en svekket versjon av et populært ukrainske regnskap programmet, sprer seg automatisk over hele bedriftens nettverk.

Den sterkeste koblingen mellom de to angrepene er basert på web-servere, som ble brukt til å distribuere de opprinnelige programvaren. Kaspersky forsker Costin Raiu fortalte Forbes magazine som et nettverk av nettsteder som har blitt hacket i utgangspunktet knyttet til NotPetya i juli var nå blir brukt til å være vert videregående distribusjonskanaler for Dårlig Kanin.

Men de to angrep, inneholder en rekke viktige forskjeller, så vel. Hvor NotPetya var rettet mot Ukraina, Dårlig Kanin ser ut til å ha primært treffe russiske bedrifter. Det var i utgangspunktet fordelt gjennom en falsk Adobe Flash-oppdatering plassert på minst tre hacket russiske medier, og fra det første fotfeste har spredt seg gjennom Russland og Ukraina, samt andre øst-Europeiske land som Polen og Bulgaria.

Angrepet er også forskjellig fra NotPetya i sin modus for distribusjon. Den falsk Adobe Flash-oppdatering, som i utgangspunktet installerer det spiller ikke bruke noen programvare utnytter til å kjøre, i stedet for å stole på gammeldags lureri for å overbevise en bruker til å åpne den selv. Også, når du har installert programvaren ikke bruk den berømte EternalBlue utnytte, antas å ha blitt utviklet av NSA før den ble stjålet av en hacking gruppen kjent som Skyggen Meglere, til å spre seg i bedriftens nettverk. Denne avgjørelsen kan ha begrenset spredning av utbruddet.

Kanskje den største forskjellen mellom de to er at Dårlig Kanin ser ikke ut til å være en “vindusvisker”, som var mistenkt for å NotPetya. Som malware var i utgangspunktet umulig å fjerne, selv for brukere som forsøkte å faktisk betale løsepenger, som fører til mistanke om det hadde vært laget mer for å forårsake skade og ødeleggelse enn øke inntekter for sine utviklere. Dårlig Kanin, derimot, angivelig ikke dekryptere harddisken ved oppføring av riktig passord.

STORBRITANNIAS National Cyber Security Centre sa i en uttalelse, “Vi er klar for en cyber hendelse som påvirker en rekke land rundt om i verden. Den NCSC har ikke fått noen rapporter om at STORBRITANNIA har blitt berørt av denne nyeste malware angrep. Vi overvåker situasjonen og arbeide sammen med våre partnere for å bedre forstå trusselen.”

Carl Leonard, en rektor analytiker ved Forcepoint, sa: “Vi vil fortsette å se massive angrep med økonomiske, ansatte og offentlig sikkerhet konsekvenser. Og metoder vil fortsette å utvikle seg, blant annet den unnvikende metoder for å skjule sin aktivitet så vel som sine sanne hensikter.

“Hemmeligheten vil være å bedre forstå den menneskelige poeng i disse angrepene. Hensikten eller motivasjon for angriperne kan spenner vidt, inkludert økonomisk gevinst, hevn, politiske eller hacktivism. Å forstå disse intensjonene kan bidra til å forme vår sikkerhet strategier.”

I utgangspunktet, noen sikkerhet produkter var i stand til å stoppe utbruddet: et eksempel på skadelig programvare som er lastet opp til analyse tjeneste VirusTotal viste bare fire produktene riktig, flagging det like skadelig som for 4:30pm på tirsdag, inkludert de som er gjort med Kaspersky og Symantec. Da, utbruddet var godt og virkelig i gang. Som onsdag morgen, nesten to tredjedeler av oppdatert security produkter identifisere skadelig programvare.

Brukere uten å jobbe antivirus beskyttelse kan også angivelig beskytte seg med en “vaksine” ved å opprette en fil på datamaskinen før malware gjør.

Amit Serper
(@0xAmit)

Vaksinasjon for Ukraina runde 2? Vil stoppe #badrabbit?
Opprette en fil som heter c:windowsinfpub.dat og fjerne alle skriverettigheter for det. Dette burde holde malware fra å kryptere. Testing det nå… pic.twitter.com/3MSSH8WKPb

Oktober 24, 2017

Regjeringen bedt om å la data brudd ofre kraft kompensasjon