Zespół Cisco Talos przeanalizował nową, zaawansowaną odmianę ransomware, przypominającą wirus Nyetya (Not-Petya). Ransomware Bad Rabbit został skierowany głównie na tereny Europy Wschodniej i Rosji.
Z tego, co udało się ustalić do tej pory, użytkownik musi pobrać ze skompromitowanych witryn i ręcznie uruchomić dropper, który łudząco przypomina aktualizację wtyczki Flash Player. Podobnie jak w przypadku wirusa Nyetya, Bad Rabbit wykorzystuje niestandardową wersję narzędzia do odzyskiwania haseł mimikatz i wykorzystuje udziały sieciowe SMB do próby rozprzestrzeniania się na dalsze hosty w sieci lokalnej.
Atak łączy w sobie technikę rozpowszechniania złośliwego oprogramowania ze skompromitowanych witryn z funkcjonalnością robaka znanego z ostatnich ataków WannaCry i Netya (Not-Petya).
Na podstawie aktualnych informacji, szkodliwe oprogramowanie było aktywne przez około sześć godzin zanim witryna je rozpowszechniająca została zablokowana. Atak ten jest jednak dowodem na to, że cyberprzestępcy stale uczą się i starają się udoskonalić techniki ataku. Cisco Talos stale monitoruje środowisko zagrożenia w celu zapewnienia ochrony przed najnowszymi zagrożeniami.
Rekomendacje:
Firmy i instytucje muszą zadbać o całościowe podejście do bezpieczeństwa, które uwzględnia blokowanie dostępu do złośliwych stron internetowych, blokowanie pobierania złośliwego oprogramowania, niedopuszczanie do zainfekowania urządzeń przez zastosowanie ochrony punktów końcowych, tworzenie kopii zapasowych i edukację użytkowników.