Tretí veľký kybernetický útok za rok. Tentokrát vírus s novým názvom Bad Rabbit a staré zvyky - šifrovanie dát a vymáhanie peňazí za odomknutie. A v postihnutej oblasti sú stále Rusko, Ukrajina a niektoré ďalšie krajiny SNŠ.
Zlý králik koná podľa obvyklej schémy: odošle phishingový e-mail s pripojeným vírusom alebo odkazom. Útočníci sa môžu vydávať za technickú podporu spoločnosti Microsoft a požiadať ich, aby urýchlene otvorili priložený súbor alebo použili odkaz. Existuje ďalšia distribučná cesta - falošné okno aktualizácie Adobe Flash Player. Zlý králik v oboch prípadoch koná rovnako ako senzačný nie tak dávno, zašifruje dáta obete a požaduje výkupné vo výške 0,05 bitcoinu, čo je pri výmennom kurze z 25. októbra 2017 približne 280 dolárov. Obeťami novej epidémie sa stali Interfax, petrohradská edícia Fontanka, kyjevské metro, Odeské letisko a Ministerstvo kultúry Ukrajiny. Existujú dôkazy, že nový vírus sa pokúsil napadnúť niekoľko známych ruských bánk, no tento nápad zlyhal. Odborníci spájajú Bad Rabbit s predchádzajúcimi veľkými útokmi zaznamenanými v tomto roku. Dôkazom toho je podobný šifrovací softvér Diskcoder.D, pričom ide o rovnaký šifrovač Petya, len mierne upravený.
Ako sa chrániť pred zlým králikom?
Odborníci odporúčajú majiteľov Počítače so systémom Windows vytvorte súbor "infpub.dat" a umiestnite ho Priečinok Windows na jednotke "C". V dôsledku toho by cesta mala vyzerať takto: C:\windows\infpub.dat. To možno vykonať pomocou bežného poznámkového bloku, ale s právami správcu. Ak to chcete urobiť, nájdeme odkaz na program Poznámkový blok, kliknite pravým tlačidlom myši a vyberte „Spustiť ako správca“.
Potom stačí tento súbor uložiť na adresu C:\windows\, teda do priečinka Windows na disku C. Názov súboru: infpub.dat, pričom „dat“ je prípona súboru. Nezabudnite nahradiť predvolenú príponu poznámkového bloku „txt“ za „dat“. Po uložení súboru otvorte priečinok Windows, nájdite vytvorený súbor infpub.dat, kliknite naň pravým tlačidlom myši a vyberte „Vlastnosti“, kde úplne dole musíte zaškrtnúť „Iba na čítanie“. Takže aj keď chytíte vírus Bad Rabbit, nebude schopný zašifrovať vaše údaje.
Preventívne opatrenia
Nezabudnite, že pred akýmkoľvek vírusom sa môžete chrániť jednoducho dodržiavaním určitých pravidiel. Znie to banálne, ale nikdy neotvárajte listy a ešte viac ich prílohy, ak sa vám zdá adresa podozrivá. Najviac sú phishingové e-maily, teda vydávajúce sa za iné služby častým spôsobom infekcií. Dávajte pozor, čo otvárate. Ak sa priložený súbor v liste nazýva „Important document.docx_______.exe“, potom tento súbor určite neotvárajte. Okrem toho musíte mať záložné kópie dôležitých súborov. Napríklad je možné duplikovať rodinný archív s fotografiami alebo pracovnými dokumentmi externý disk alebo cloudové úložisko. Nezabudnite na dôležitosť používania licencovaná verzia Windows a pravidelne inštalujte aktualizácie. Bezpečnostné záplaty vydáva Microsoft pravidelne a tí, ktorí ich inštalujú, nemajú s takýmito vírusmi problémy.
Ahojte všetci! Len nedávno sa v Rusku a na Ukrajine, v Turecku, Nemecku a Bulharsku začal rozsiahly hackerský útok s novým šifrovacím vírusom Bad Rabbit, známym ako Diskcoder.D. Šifrovač je zapnutý tento momentútočí na podnikové siete veľkých a stredne veľkých organizácií, pričom blokuje všetky siete. Dnes vám povieme, čo je tento trójsky kôň a ako sa pred ním môžete chrániť.
čo je vírus?
Bad Rabbit (Bad Rabbit) funguje podľa štandardnej schémy pre ransomware: keď vstúpi do systému, zakóduje súbory na dešifrovanie, ktorých hackeri vyžadujú 0,05 bitcoinu, čo je pri sadzbe 283 dolárov (alebo 15 700 rubľov). Hlási sa to v samostatnom okne, kde je skutočne potrebné zadať zakúpený kľúč. Hrozbou je trójsky kôň Trojan.Win32.Generic, obsahuje však aj ďalšie zložky, ako napr DangerousObject.Multi.Generic A Ransom .Win 32.Gen .ftl.
Bad Rabbit - nový ransomware vírus
Stále je ťažké úplne vystopovať všetky zdroje infekcie, ale odborníci na tom teraz pracujú. Pravdepodobne sa hrozba dostane do počítača prostredníctvom infikovaných stránok, ktoré sú presmerované, alebo pod zámienkou falošných aktualizácií populárnych doplnkov, ako je Adobe Flash. Zoznam takýchto stránok sa len rozširuje.
Je možné vírus odstrániť a ako sa chrániť?
Hneď treba povedať, že momentálne všetko antivírusové laboratóriá začal tento trójsky kôň analyzovať. Ak konkrétne hľadáte informácie o odstránení vírusu, potom to ako také nie je. Zahoďme hneď štandardnú radu – urobte si zálohu systému, bod návratu, vymažte také a také súbory. Ak nemáte uloženia, potom všetko ostatné nefunguje, hackeri si takéto momenty premysleli kvôli špecifikácii vírusu.
Myslím, že dekodéry pre Bad Rabbit vyrobené amatérmi budú čoskoro distribuované - či budete tieto programy sledovať alebo nie, je vaša vec. Ako ukázal predchádzajúci ransomvér Petya, pomáha to málokomu.
Môžete však zabrániť hrozbe a odstrániť ju, keď sa pokúsite dostať do počítača. Na správy o vírusovej epidémii ako prvé zareagovali Kaspersky a ESET labs, ktoré už blokujú pokusy o prienik. Prehliadač Google Chrome tiež začal identifikovať infikované zdroje a varovať pred ich nebezpečenstvom. Tu je to, čo robiť na ochranu pred BadRabbitom:
- Ak na ochranu používate Kaspersky, ESET, Dr.Web alebo iné populárne analógy, určite musíte aktualizovať databázy. Pre Kaspersky je tiež potrebné povoliť „Monitoring aktivity“ (System Watcher) a v ESETe použiť podpisy s aktualizáciou 16295.
- Ak nepoužívate antivírusy, musíte zablokovať spustenie súborov C:\Windows\infpub.dat A C:\Windows\cscc.dat. Robí sa to cez editor. skupinové politiky alebo program AppLocker pre Windows.
- Nezabudnite si zálohovať systém. Teoreticky by mala byť kópia vždy uložená na vymeniteľnom médiu. Tu je krátky video návod, ako ho vytvoriť.
Je žiaduce zakázať vykonávanie služby - Windows Management Instrumentation (WMI). V prvej desiatke je služba tzv "Windows Management Instrumentation". Cez pravé tlačidlo prejdite do vlastností služby a vyberte "Typ spustenia" režim "Zakázané".
Záver
Na záver stojí za to povedať to najdôležitejšie - nemali by ste platiť výkupné, bez ohľadu na to, čo ste zašifrovali. Takéto akcie len podnecujú podvodníkov k vytváraniu nových vírusových útokov. Sledujte fóra antivírusových spoločností, ktoré dúfam, že čoskoro preštudujú vírus Bad Rabbit a nájdu účinnú tabletku. Ak chcete chrániť svoj operačný systém, postupujte podľa vyššie uvedených krokov. V prípade ťažkostí s ich implementáciou sa odhláste v komentároch.
Šifrovací vírus Bad Rabbit, ktorý deň predtým napadli ruské médiá, sa pokúsil zaútočiť aj na ruské banky z 20 najlepších, uviedla pre Forbes Group-IB, ktorá vyšetruje a predchádza počítačovej kriminalite. Zástupca spoločnosti odmietol objasniť podrobnosti o útokoch na úverové inštitúcie s vysvetlením, že Group-IB nezverejňuje informácie o klientoch využívajúcich svoj systém detekcie narušenia.
Podľa odborníkov na kybernetickú bezpečnosť sa pokusy infikovať vírusom infraštruktúry ruských bánk odohrali 24. októbra od 13:00 do 15:00 moskovského času. Group-IB je presvedčená, že kybernetické útoky preukázali lepšiu ochranu bánk v porovnaní so spoločnosťami v nebankovom sektore. Spoločnosť to oznámila už skôr nový ransomware vírus, pravdepodobne súvisiaci s júnovým prepuknutím ransomvéru NotPetya (naznačujú to zhody okolností v kóde), zaútočil na ruské médiá. Bolo to o informačné systémy agentúra "Interfax", ako aj servery Petrohradu spravodajský portál"Fontanka". Okrem toho vírus zasiahol systémy kyjevského metra, ukrajinského ministerstva infraštruktúry a medzinárodného letiska v Odese. NotPetya zasiahla toto leto energetické, telekomunikačné a finančné spoločnosti hlavne na Ukrajine. Na dešifrovanie infikovaných súborov zlý vírus Králik, útočníci požadujú 0,05 bitcoinov, čo pri súčasnom výmennom kurze približne zodpovedá 283 dolárom alebo 15 700 rubľov.
Spoločnosť Kaspersky Lab objasnila, že tentoraz si väčšinu obetí vybrali hackeri v Rusku. Podobné útoky však zaznamenali vo firme aj na Ukrajine, v Turecku a Nemecku, no „v oveľa menšom počte“. „Všetky znaky naznačujú, že ide o cielený útok na podnikové siete. Používajú sa metódy podobné tým, ktoré sme pozorovali pri útoku ExPetr, avšak súvislosť s ExPetrom nemôžeme potvrdiť,“ uviedol zástupca spoločnosti. Partner Forbes dodal, že všetky produkty Kaspersky Lab „detekujú tieto škodlivé súbory ako UDS:DangerousObject.Multi.Generic“.
Ako sa chrániť?
Na ochranu pred týmto útokom spoločnosť Kaspersky Lab odporučila používať antivírus s povoleným KSN a modulom Monitor systému. „Ak bezpečnostné riešenie Kaspersky Lab nie je nainštalované, odporúčame zakázať spúšťanie súborov s názvami c:\windows\infpub.dat a C:\Windows\cscc.dat pomocou nástrojov na správu systému,“ poradil šéf anti- oddelenie výskumu vírusov v laboratóriu Kaspersky" Vyacheslav Zakorzhevsky.
Group-IB poznamenáva, že na to, aby vírus nemohol šifrovať súbory, „musíte vytvoriť súbor C:\windows\infpub.dat a nastaviť ho ako iba na čítanie“. Potom, aj keď sú infikované, súbory nebudú šifrované, uviedla spoločnosť. Zároveň musíte urýchlene izolovať počítače, ktoré odosielajú takéto škodlivé súbory, aby ste sa vyhli rozsiahlej infekcii iných počítačov pripojených k sieti. Potom musia používatelia overiť relevantnosť a integritu zálohy kľúčové uzly siete.
Po dokončení primárnych akcií sa používateľovi odporúča aktualizovať OS a bezpečnostné systémy, pričom súčasne blokujú IP adresy a názvy domén z ktorých boli distribuované škodlivé súbory. Group-IB odporúča zmeniť všetky heslá na zložitejšie a nastaviť blokovanie vyskakovacích okien, ako aj zakázať ukladanie hesiel do LSA Dumpu vo forme čistého textu.
Kto stojí za útokom BadRabbit
V roku 2017 už boli zaznamenané dve najväčšie epidémie ransomvéru – WannaCry (napadol 200 000 počítačov v 150 krajinách) a ExPetr. Ten posledný je Petya a zároveň NotPetya, poznamenáva Kaspersky Lab. Teraz sa podľa spoločnosti „začína tretia“. Názov nového ransomvéru Bad Rabbit „je napísaný na stránke na temnom webe, ktorú jeho tvorcovia posielajú, aby sa spýtali na podrobnosti,“ uviedla spoločnosť. Group-IB verí, že Bad Rabbit je upravená verzia NotPetya s opravami chýb v šifrovacom algoritme. Najmä kód Bad Rabbit obsahuje bloky, ktoré úplne opakujú NotPetya.
ESET Rusko súhlasí s tým, že malvér Win32/Diskcoder.D použitý pri útoku je upravená verzia Win32/Diskcoder.C, známejšia ako Petya/NotPetya. Ako povedal pre Forbes Vitaly Zemskikh, vedúci podpory predaja v ESET Russia, štatistiky útokov podľa krajín „vo veľkej miere zodpovedajú geografickej distribúcii stránok obsahujúcich škodlivý JavaScript“. Najviac infekcií sa tak vyskytlo v Rusku (65 %), nasledovala Ukrajina (12,2 %), Bulharsko (10,2 %), Turecko (6,4 %) a Japonsko (3,8 %).
K nákaze vírusom Bad Rabbit došlo po návšteve napadnutých stránok. Hackeri nahrali injekciu JavaScriptu do kompromitovaných zdrojov v kóde HTML, čo návštevníkom ukázalo falošné okno ponúkajúce inštaláciu aktualizácie Adobe. Flash Player. Ak používateľ súhlasil s aktualizáciou, do počítača bol nainštalovaný škodlivý súbor s názvom „install_flash_player.exe“. "Infekcia pracovná stanica v rámci organizácie môže byť šifrovač distribuovaný v rámci podnikovej siete prostredníctvom protokolu SMB. Na rozdiel od svojho predchodcu Petya/NotPetya Bad Rabbit nepoužíva exploit EthernalBlue – namiesto toho prehľadáva sieť, či nie je otvorená sieťové zdroje“, – hovorí Zemský. Potom sa na infikovanom počítači spustí nástroj Mimikatz na zhromaždenie poverení. Okrem toho je k dispozícii pevne zakódovaný zoznam prihlasovacích údajov a hesiel.
O tom, kto zorganizoval hackerské útoky, zatiaľ nie sú žiadne informácie. Zároveň podľa Group-IB by hromadné útoky WannaCry a NotPetya podobného charakteru mohli súvisieť s hackerské skupiny financované vládou. Odborníci vyvodzujú tento záver na základe toho, že finančný prínos z takýchto útokov je v porovnaní so zložitosťou ich implementácie „zanedbateľný“. „S najväčšou pravdepodobnosťou nešlo o pokusy zarobiť peniaze, ale o kontrolu úrovne ochrany sietí kritickej infraštruktúry podnikov, vládnych rezortov a súkromných spoločností,“ uzatvárajú odborníci. Hovorca Group-IB pre Forbes potvrdil, že najnovší vírus – Bad Rabbit – by mohol byť testom ochrany vládnej a obchodnej infraštruktúry. „Áno, je to možné. Vzhľadom na to, že útoky boli vedené bodovo – na objekty kritickej infraštruktúry – letisko, metro, vládne agentúry, “vysvetľuje účastník rozhovoru Forbes.
V odpovedi na otázku o páchateľoch najnovšieho útoku ESET Rusko zdôrazňuje, že len s použitím nástrojov antivírusovej spoločnosti nie je možné kvalitne vyšetriť a identifikovať zainteresovaných, to je úlohou špecialistov z iného profilu. „Ako antivírusová spoločnosť identifikujeme metódy a ciele útokov, škodlivé nástroje útočníkov, zraniteľnosti a exploity. Pátranie po páchateľoch, ich motívoch, národnosti a podobne nie je našou zodpovednosťou, “uviedol zástupca spoločnosti a sľúbil, že na základe výsledkov vyšetrovania vyvodí závery o vymenovaní Bad Rabbit. "Bohužiaľ, v blízkej budúcnosti uvidíme veľa takýchto incidentov - vektor a scenár tohto útoku ukázali vysokú účinnosť," predpovedá ESET Rusko. Hovorca Forbes pripomína, že v roku 2017 spoločnosť predpovedala nárast počtu cielených útokov na podnikový sektor, predovšetkým na finančné organizácie (podľa predbežných odhadov o viac ako 50 %). „Tieto predpovede sa teraz napĺňajú, vidíme nárast počtu útokov v kombinácii s nárastom škôd na postihnutých spoločnostiach,“ priznáva.
Včera, 24. októbra 2017, veľké ruské médiá, ako aj množstvo ukrajinských vládnych agentúr, neznámi votrelci. Medzi obeťami boli Interfax, Fontanka a najmenej jedna ďalšia nemenovaná internetová publikácia. Po médiách o problémoch informovalo aj medzinárodné letisko v Odese, kyjevské metro a ukrajinské ministerstvo infraštruktúry. Podľa analytikov Group-IB sa zločinci pokúsili zaútočiť aj na bankovú infraštruktúru, ale tieto pokusy boli neúspešné. Špecialisti ESETu zase tvrdia, že útoky zasiahli používateľov z Bulharska, Turecka a Japonska.
Ako sa ukázalo, poruchy v práci spoločností a vládnych agentúr neboli spôsobené masívnymi DDoS útokmi, ale ransomvérom, ktorý sa nazýva Bad Rabbit (niektorí odborníci radšej píšu BadRabbit bez medzery).
O malvéri a jeho mechanizmoch sa včera vedelo len málo: bolo hlásené, že ransomvér požadoval výkupné 0,05 bitcoinov a experti Group-IB uviedli, že útok sa pripravoval niekoľko dní. Na stránke útočníkov sa teda našli dva JS skripty a podľa informácií zo servera bol jeden z nich aktualizovaný 19. októbra 2017.
Teraz, hoci od začiatku útokov neuplynul ani deň, experti z takmer všetkých popredných svetových spoločností v oblasti informačnej bezpečnosti už ransomvér analyzovali. Čo je teda Bad Rabbit a mali by sme očakávať novú „epidémiu ransomvéru“ ako WannaCry alebo NotPetya?
Ako sa Bad Rabbit podarilo narušiť bežné médiá, ak išlo o falošné aktualizácie Flash? Podľa ESET , Emsisoft A Fox IT, malvér po infekcii použil utilitu Mimikatz na extrakciu hesiel z LSASS a mal aj zoznam najbežnejších prihlasovacích údajov a hesiel. Malvér to všetko využil na šírenie cez SMB a WebDAV na ďalšie servery a pracovné stanice umiestnené v rovnakej sieti ako infikované zariadenie. Odborníci z vyššie uvedených spoločností a zamestnanci Cisco Talos sa zároveň domnievajú, že v tomto prípade nešlo o žiadny nástroj ukradnutý zo špeciálnych služieb, ktorý využíva medzery v SMB. Dovoľte mi pripomenúť, že vírusy WannaCry a NotPetya boli distribuované pomocou tohto konkrétneho exploitu.
Odborníci však stále dokázali nájsť nejaké podobnosti medzi Bad Rabbit a Petya (NotPetya). Ransomware teda nešifruje iba používateľské súbory pomocou open-source DiskCryptor, ale upravuje MBR (Master Boot Record), po ktorom reštartuje počítač a na obrazovke zobrazí správu o výkupnom.
Hoci je správa s požiadavkami útočníkov takmer totožná so správou od prevádzkovateľov NotPetya, názory odborníkov na prepojenie Bad Rabbit a NotPetya sa mierne líšia. Analytici Intezeru to vypočítali zdroj malvér
Koncom 80. rokov vírus AIDS ("PC Cyborg") napísaný Josephom Poppom skrýval adresáre a zašifrované súbory, pričom požadoval približne 200 dolárov za "obnovenie licencie". Najprv sa ransomvér zameral iba na obyčajných ľudí používajúcich počítače pod Ovládanie Windows, ale teraz sa samotná hrozba stala vážnym problémom pre podnikanie: objavuje sa stále viac programov, sú lacnejšie a dostupnejšie. Vydieranie pomocou malvéru je hlavnou kybernetickou hrozbou v 2/3 krajín EÚ. Jeden z najrozšírenejších ransomvérových vírusov, CryptoLocker, infikoval od septembra 2013 viac ako štvrť milióna počítačov v EÚ.
V roku 2016 sa počet útokov ransomvéru dramaticky zvýšil, podľa analytikov viac ako 100-krát viac ako v predchádzajúcom roku. Ide o rastúci trend a ako sme videli, útokom sú úplne iné spoločnosti a organizácie. Hrozba je aktuálna aj pre neziskové organizácie. Keďže za každý väčší útok malvér vylepšené a otestované útočníkmi na „prechod“. antivírusová ochrana, antivírusy sú proti nim spravidla bezmocné.
Bezpečnostná služba Ukrajiny 12. októbra varovala pred pravdepodobnosťou nových rozsiahlych kybernetických útokov na vládne agentúry a súkromné spoločnosti, podobne ako pri júnovej epidémii šifrovacieho vírusu. Nie Petya. Podľa ukrajinskej spravodajskej služby „útok možno vykonať pomocou aktualizácií vrátane verejne dostupného aplikačného softvéru“. Pripomeňte si to v prípade útoku Nie Petya, ktoré vedci spojili so skupinou BlackEnergy, prvými obeťami boli spoločnosti, ktoré využívajú softvér Ukrajinský vývojár systému správy dokumentov "M.E.Doc".
Potom, v prvých 2 hodinách, boli napadnuté energetické, telekomunikačné a finančné spoločnosti: Záporožie, Dneproenergo, Dnipro Electric Power System, Mondelez International, Oschadbank, Mars,“ Nová pošta“, Nivea, TESA, Kyjevské metro, počítače kabinetu ministrov a vlády Ukrajiny, obchody Auchan, ukrajinskí operátori („Kyivstar“, LifeCell, „UkrTeleCom“), Privatbank, letisko Boryspil.
O niečo skôr, v máji 2017, WannaCry ransomware vírus napadol 200 000 počítačov v 150 krajinách. Vírus sa prehnal sieťami univerzít v Číne, tovární Renault vo Francúzsku a Nissan v Japonsku, telekomunikačnej spoločnosti Telefonica v Španielsku a železničného operátora Deutsche Bahn v Nemecku. Kvôli zablokovaným počítačom na klinikách v Spojenom kráľovstve museli byť operácie odložené a regionálne oddelenia ruského ministerstva vnútra nemohli vydávať vodičské preukazy. Vedci uviedli, že za útokom boli severokórejskí hackeri z Lazarus.
V roku 2017 dosiahli šifrovacie vírusy novú úroveň: používanie nástrojov z arzenálov amerických spravodajských agentúr a nových distribučných mechanizmov kyberzločincami viedlo k medzinárodným epidémiám, z ktorých najväčšie boli WannaCry a NotPetya. Napriek rozsahu infekcie samotný ransomvér zhromaždil relatívne zanedbateľné sumy - pravdepodobne nešlo o pokusy zarobiť peniaze, ale o kontrolu úrovne ochrany sietí kritickej infraštruktúry podnikov, vládnych rezortov a súkromných spoločností.
Načítava...