NSA wykorzystać rozprowadza Bad Rabbit Ransomware

Computer Security News

Eksperci od bezpieczeństwa poinformował, że wbrew ich wstępne raporty, Bad Rabbit ransomware wykorzystuje exploita, który jest połączony do US National Security Agency (NSA).

Identycznie do złośliwego wycieraczki NotPetya Bad Rabbit ransomware również używa protokołu bloku komunikatów serwera (SMB) do rozprzestrzeniania się w niepewne sieci. Jednak naukowcy, myślałem, że w przeciwieństwie do NotPetya, zły królik nie używać ani EternalBlue, ani EternalRomance wykorzystać. Jednak teraz Eksperci potwierdzają, że podczas Bad Rabbit ransomware nie używa EternalBlue, faktycznie wykorzystuje EternalRomance do rozpowszechniania w sieci.

Microsoft skierowane EternalRomance lukę w marca 2017 r., w tym roku wydaniu biuletynu zabezpieczeń, który również poprawione wyczyny EternalChampion, EternalBlue i EternalSynergy.

Grupa hakerów cień brokerów publicznej kilka szczegółów tych wad w kwietniu tego roku. Grupa twierdzi, że uzyskają te i wiele innych exploitów od NSA i że były one używane przez jedną z drużyn agencji, znany jako grupę Equation.

Wkrótce po wad wszedł na giełdę, Microsoft ogłosił, że oni już ustalono, który zasugerował, że korporacja został poinformowany o luki przez NSA, sam.

Według wstępnej analizy były liczne połączenia pomiędzy Bad królik i NotPetya, w tym ich cele – Ukraina i Rosja, podpisane pliki binarne z wygasłe certyfikaty, korzystać z Mimikatz chwytając poświadczeń, ponownie obuwać i trwałości poprzez zaplanowane zadania, usuwanie dzienników zdarzeń i USN zmienić czasopism, jak również ten sam rodzaj szyfrowania plików i funkcje ransomware.

Jednak najbardziej istotna różnica między zły królik i NotPetya jest fakt, że zły królik okazuje się prawdziwym ransomware i użytkowników pliki można odzyskać po zapłaceniu okupu. Podczas gdy NotPetya został sklasyfikowany jako wycieraczka ze względu na fakt, że okup funkcji płatności nie jest realizowany właściwie co sprawia, że odzyskiwania plików jest niemożliwe.

Kolejna duża różnica między dwoma zagrożeniami jest fakt, że zły królik głównie dotyczy przedsiębiorstw, szczególnie w Rosji. Jednak wiele ofiar na Ukrainie były wysokim profilu organizacji.

Wycieraczki NotPetya wiąże się zagrożenie rosyjski, znany jako BlackEnergy, TeleBots i zespół robak piaskowy, sugerując, że sam gang cyber może być za zły królik ataków, jak również.

Według analizy infrastruktury zły królik, niektóre złamanego domen, używane w ataku miał zostały skonfigurowane od o co najmniej lipca, podczas gdy niektóre serwery iniekcji zostały dostrzeżone więcej niż rok temu.


Leave a Reply

Your email address will not be published. Required fields are marked *