Špatný králík

Bad Rabbit ( rusky „Bad Rabbit“ ) je ransomwarový virus vyvinutý pro rodinu operačních systémů Windows a objevený 24. října 2017 [1] . Podle analytiků má program podobnost jednotlivých fragmentů s virem NotPetya .

Podle společnosti Symantec má virus nízkou úroveň ohrožení [2] . 25. října byly zastaveny servery, které poskytovaly počáteční infekci Bad Rabbit [3] .

Historie

24. října 2017 zaútočil ransomware virus na řadu ruských médií , včetně tiskové agentury Interfax a online deníku Fontanka , jakož i na kyjevské metro a letiště v Oděse a požadoval 0,05 bitcoinů (asi 16 tisíc rublů) za odemknutí jednoho počítače . po dobu 48 hodin [4] [5] [6] . Také v menší míře bylo napadeno Turecko a Německo [7] [8] . Obnova webových stránek a počítačů Interfax trvala více než den [9] [10] . Zároveň byly ve viru nalezeny odkazy na fantasy ságu „ Hra o trůny “, konkrétně jména tří draků – Drogon, Rhaegal a Viserion [11] [12] [13] [14] .

Způsob útoku

Pro prvotní instalaci Virus nepoužívá žádné exploity ani zranitelnosti: Instalační program viru, který se vydává za aktualizaci pro Adobe Flash Player , si musí uživatel stáhnout a spustit ručně, požádá o potvrzení zvýšení oprávnění prostřednictvím Windows UAC [15] .

Po instalaci se aplikace zaregistruje pomocí mechanismu pravidelného plánování úloh a spustí vlastní šíření v místní síti prostřednictvím vzdálených připojení SMB a WMIC zachycením tokenů a hesel pomocí nástroje Mimikatz a hrubou silou hesel NTLM na vzdálených uzlech Windows pro řadu běžných uživatelská jména [15] . Podle Cisco Talos komponenta šíření virů navíc využívá technologie a kódy NSA „EternalRomance“, které dříve zveřejnila skupina Shadowbrokers (chyba v kódech SMB , opravena společností Microsoft v březnu 2017) [16] [17] .

Aplikace šifruje soubory pomocí algoritmů AES-128-CBC a RSA-2048 [1] .

Bad Rabbit v rozporu s licencí GPLv3 používá kódy a ovladač z projektu DiskCryptor [15] [18] [19] , ale nezveřejňuje upravené zdrojové kódy ani nežádá uživatele o souhlas s používáním licence GPLv3.

Viz také

• WannaCry
• Péťa

Poznámky

1. ↑ 1 2 Orkhan Mammadov, Fedor Sinitsyn, Anton Ivanov. Šifra Bad Rabbit . Kaspersky Lab (25. října 2017). Získáno 27. října 2017. Archivováno z originálu dne 27. října 2017. (neurčitý)
2. ↑ Benjamin Moench Ransom.BadRabbit. Technické podrobnosti archivovány 27. října 2017 na Wayback Machine / Symantec Security Response
3. ↑ Lorenzo Franceschi-Bicchierai . Zdá se, že infrastruktura pro ransomware „Bad Rabbit“ byla vypnuta  (anglicky) , Vice (25. října 2017). Archivováno z originálu 26. října 2017. Staženo 27. října 2017.
4. ↑ Group-IB: Bad Rabbit ransomware napadl ruská média . TASS (24. října 2017). Získáno 26. října 2017. Archivováno z originálu dne 26. října 2017. (neurčitý)
5. ↑ Ivan Gusev. Rusko bylo napadeno novým ransomwarovým virem „Bad Rabbit“ . Život (24. října 2017). Získáno 26. října 2017. Archivováno z originálu dne 26. října 2017. (neurčitý)
6. ↑ Polina Duchanova. "Ne nejgramotnější hackeři": co stojí za kybernetickými útoky na ruská média . RT (24. října 2017). Získáno 26. října 2017. Archivováno z originálu dne 26. října 2017. (neurčitý)
7. ↑ Alexey Sharoglazov. Oběti ransomwarového útoku Bad Rabbit se jmenovaly . Izvestija (24. října 2017). Získáno 26. října 2017. Archivováno z originálu dne 25. října 2017. (neurčitý)
8. ↑ Ransomware napadl oběti prostřednictvím mediálních stránek . Vesti.net (25. října 2017). Získáno 28. prosince 2017. Archivováno z originálu dne 27. prosince 2017. (neurčitý)
9. ↑ Kristina Žuková. Práce médií zasažených virem Bad Rabbit byla obnovena . Kommersant (25. října 2017). Získáno 26. října 2017. Archivováno z originálu dne 26. října 2017. (neurčitý)
10. ↑ Ransomware 'Bad Rabbit ' zasáhl Ukrajinu a Rusko  . Zprávy BBC (26. října 2017). Získáno 27. října 2017. Archivováno z originálu 6. ledna 2021.
11. ↑ Odborníci odhalili souvislost mezi virem Bad Rabbit a „Hrou o trůny“ . Lenta.ru (25. října 2017). Získáno 26. října 2017. Archivováno z originálu 9. června 2021. (neurčitý)
12. ↑ Roman Bosikov. Odborníci našli souvislost mezi virem Bad Rabbit a Hrou o trůny . Život (25. října 2017). Získáno 26. října 2017. Archivováno z originálu dne 26. října 2017. (neurčitý)
13. ↑ Ve viru „Bad Rabbit“, který zasáhl ruská média, našli odborníci odkazy na „Hru o trůny“ . Channel Five (26. října 2017). Datum přístupu: 26. října 2017. (neurčitý)
14. ↑ Bad Rabbit ransomware vytvořený fanoušky Game of Thrones . ČIP (26. října 2017). Získáno 26. října 2017. Archivováno z originálu dne 26. října 2017. (neurčitý)
15. ↑ 1 2 3 Jak funguje ransomware Bad Rabbit a je zde odkaz na NotPetya . Získáno 26. října 2017. Archivováno z originálu dne 26. října 2017. (neurčitý)
16. ↑ NICK BIASINI. Threat Spotlight : Follow the Bad Rabbit  . Talos Intelligence (24. ŘÍJNA 2017). Získáno 27. října 2017. Archivováno z originálu dne 27. října 2017.
17. ↑ SEAN GALLAGHER . Bad Rabbit využil využití NSA „EternalRomance“ k šíření, říkají vědci  (anglicky) , ARS Technica (26. října 2017). Archivováno z originálu 26. října 2017. Staženo 27. října 2017.
18. ↑ Nová vlna malwaru pro šifrování dat zasáhla Rusko a Ukrajinu Archivováno 26. října 2017 na Wayback Machine 
19. ↑ Kevin Beaumont na Twitteru: „#BadRabbit používá legitimní, podepsaný program nazvaný DiskCryptor k uzamčení pevného disku oběti…“ . Získáno 26. října 2017. Archivováno z originálu 1. prosince 2017. (neurčitý)