Bad Rabbit Ransomware tấn công hệ thống truyền hình và mạng lưới giao thông Ukraine và Russia

Một chiến dịch ransomware hiện đang được tiến hành, đánh vào các nước Đông Âu với những gì có vẻ như là một biến thể của công cụ trộm cắp Petya được đặt tên là Bad Rabbit (chúng tôi phát hiện là RANSOM_BADRABBIT.A). Các sản phẩm Trend Micro với tính năng bảo mật XGen ™ phát hiện ra ransomware này là TROJ.Win32.TRX.XXPE002FF019. Cuộc tấn công xảy ra vài tháng sau vụ bộc phát Petya trước đó, tấn công các nước châu Âu vào tháng 6.

Các báo cáo ban đầu đưa ra làm ảnh hưởng các hệ thống chính như hệ thống giao thông và các phương tiện truyền thông ở Ukraine và Nga. CERT (Uk) của Ukranian của CERT (CERT-UA) cũng đã đưa ra lời cảnh báo về các cuộc tấn công ransomware tiềm tàng khác.

Phân tích ban đầu

Hình 1: Ghi chú về tiền chuộc của Rabbit hiển thị khóa cài đặt

Các phát hiện ban đầu của chúng tôi báo cáo rằng Bad Rabbit lây lan qua các cuộc tấn công lỗ nước dẫn đến trình cài đặt Flash giả mạo “install_flash_player.exe”. Các trang web bị xâm nhập được tiêm một tập lệnh chứa URL để giải quyết đến hxxp: //1dnscontrol.com/flash_install, điều này không thể truy cập vào thời điểm xuất bản. Chúng tôi đã quan sát thấy một số trang web bị xâm nhập khỏi Đan Mạch, Ireland, Thổ Nhĩ Kỳ và Nga, nơi cung cấp trình cài đặt Flash giả mạo.

Hình 2: Mã hiển thị tập lệnh được tiêm

Một khi trình cài đặt giả mạo được nhấp vào, nó sẽ thả tệp infpub.dat của trình mã hóa bằng quá trình rundll32.exe, cùng với tệp dispci.exe decci.exe. Là một phần của thói quen của nó, Bad Rabbit sử dụng một bộ ba tệp tham chiếu Game of Thrones, bắt đầu với rhaegal.job, có trách nhiệm thực hiện tệp decryptor, cũng như tập tin công việc thứ hai, drogon.job, có trách nhiệm để tắt máy của nạn nhân. Các ransomware sau đó sẽ tiến hành mã hóa các tập tin trong hệ thống, cũng như hiển thị các khoản tiền chuộc được ghi ở trên.

Một tập tin thứ ba, viserion_23.job, được sử dụng để khởi động lại hệ thống mục tiêu lần thứ hai, sau đó màn hình bị khóa và ghi chú sau đây hiển thị:

Hình 3: Ghi chú về tiền chuộc Rabbit hiển thị sau khi khởi động lại hệ thống

Từ phân tích ban đầu của chúng tôi, Bad Rabbit lây lan sang các máy tính khác trong mạng bằng cách tự hủy bản sao của chính nó trong mạng bằng cách sử dụng tên ban đầu và thực hiện các bản sao bị bỏ qua bằng cách sử dụng Windows Management Instrumentation (WMI) và Service Remote Control Protocol của Quản lý Dịch vụ. Khi sử dụng Giao thức Điều khiển Tốc độ Quản lý Dịch vụ, nó sử dụng cuộc tấn công từ điển cho các chứng chỉ.

Trong số các công cụ Bad Rabbit được kết hợp là tiện ích mã nguồn mở Mimikatz, nó sử dụng để khai thác chứng chỉ. Chúng tôi cũng đã tìm thấy bằng chứng của nó bằng cách sử dụng DiskCryptor, một công cụ mã hóa đĩa hợp pháp, để mã hóa các hệ thống đích.

Giảm thiểu và Thực tiễn tốt nhất người dùng có thể giảm nhẹ tác động của ransomware như Bad Rabbit thông qua việc sử dụng  giải pháp Trend Micro.

Bảo mật của Trend Micro XGen ™ cung cấp sự kết hợp giữa các kỹ thuật phòng chống đe dọa giữa các trung tâm dữ liệu, môi trường đám mây, mạng và điểm cuối. Nó có tính năng học máy trung thực cao để bảo vệ dữ liệu và ứng dụng cổng kết nối và điểm cuối và bảo vệ khối lượng công việc vật lý, ảo và đám mây. Với khả năng như lọc web / URL, phân tích hành vi và hộp cát tùy chỉnh, XGen ™ bảo vệ chống lại các mối đe dọa mục đích hiện nay, vượt qua các kiểm soát truyền thống, khai thác các lỗ hổng đã biết, chưa biết hoặc không được tiết lộ, và ăn cắp hoặc mã hóa dữ liệu nhận dạng cá nhân. Thông minh, được tối ưu hóa và kết nối, XGen ™ hỗ trợ các giải pháp bảo mật của Trend Micro: Bảo mật đám mây Hybrid, Bảo vệ người dùng và Bảo vệ Mạng.

Thông tin thêm về các giải pháp của Trend Micro có thể được tìm thấy trong bài báo này.

Các bản ghi SHA256 sau đây được phát hiện là RANSOM_BADRABBIT.A:

  • 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
  • 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Các băm bổ sung liên quan đến món chuộc này:

  • install_flash_player.exe: de5c8d858e6e41da715dca1c019df0bfb92d32c0
  • infpub.dat: 9116fe99f2b421c52ef64097f0f39b815b209072d963fcd2c6bcba05735a88ea4cbf6fd5f89a21cdispci.
  • exe:afeee8b4acff87bc469a6f0364a81ae5d60a2add

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *