Першотравневий! Першотравневий! Чергова спалах нового викупового посуду вразила основну інфраструктуру України та Росії, включаючи декілька транспортних організацій, а також багато урядових організацій і носить ім'я "Bad Rabbit" .
Згідно з повідомленнями ЗМІ, багато комп'ютерів були зашифровані за допомогою цієї кібератаки. Громадські джерела підтвердили, що комп’ютерні системи київського метрополітену разом з аеропортом Одеса, а також інші численні організації з Росії постраждали.
Зловмисне програмне забезпечення, яке було використано для цієї кібератаки, було "Disk Coder.D" - новим варіантом викупного програмного забезпечення, яке в народі отримало назву "Петя". Попередня кібератака Disk Coder залишила збитки в глобальному масштабі в червні 2017 року.
ESET про поганого кролика.
Телеметрична система ESET повідомила про численні виникнення Дискового кодера. Однак у межах Росії та України є виявлення цієї кібератаки на комп'ютери з Туреччини, Болгарії та деяких інших країн.
На даний момент дослідники ESET з безпеки розробляють всебічний аналіз цього шкідливого програмного забезпечення. За попередніми висновками, Disk Coder D використовує інструмент Mimikatz для вилучення облікових даних із постраждалих систем. Їх висновки та аналіз тривають, і ми будемо інформувати вас, як тільки з’являться подальші деталі.
Телеметрична система ESET також повідомляє, що на Україну припадає лише 12, 2% від загальної кількості випадків, коли вони бачили проникнення поганого кролика. Нижче наведено решту статистичних даних:
- Росія: 65%
- Україна: 12, 2%
- Болгарія: 10, 2%
- Туреччина: 6, 4%
- Японія: 3, 8%
- Інше: 2, 4%
Вищезгаданий розподіл країн був підданий компромету Бад-Кроликом відповідно. Цікаво, що всі ці країни були вражені одночасно. Цілком ймовірно, що група вже стопила всередину мережі постраждалих організацій.
Як.
Метод розповсюдження, який використовується для Bad Rabbit, - це "Завантажуваний диск". Простіше кажучи, завантажувальне завантаження - це випадкове спливаюче вікно завантаження, яке відображається на веб-сайтах чи електронних листах. У цих випадках "постачальник" стверджує, що користувач "погодився" на конкретне завантаження, хоча користувач насправді зовсім не знав про початок небажаної або зловмисної завантаження програмного забезпечення.
Аналогічно, у випадку з Bad Rabbit, що ми бачили до цього часу, це спливаюче вікно з проханням завантажити оновлену версію Flash Player Adobe, як показано нижче.
Як тільки хтось натискає кнопку завантаження, завантажується виконуваний файл. Цей виконуваний файл, тобто install_flash_player.exe, є крапельницею для Bad Rabbit. Зрештою, комп'ютер блокується та показує записку про викуп наступним чином.
Крім того, сторінка оплати Bad Rabbit виглядає приблизно так.
Далі наведені компрометовані веб-сайти.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // an-Crimearu
- hxxp: //www.t.ksua
- hxxp: // most-dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-Crimearu
Тепер що?
Кібер-атаки сьогодні перетворилися на багато облич. Інтернет вже не є безпечним місцем, тому настійно рекомендується використання автентичного VPN; особливо під час підключення до загальнодоступного Wi-Fi.
Створіть надійно зашифрований тунель між собою та Інтернетом за допомогою провідного постачальника послуг VPN, Івасі VPN, і візьміть під контроль свій Інтернет-присутність та захистіть ваші цінні дані.