Мейдей! Мейдей! Поредното избухване на нов отбранителен софтуер засегна основната инфраструктура на Украйна и Русия, включително няколко транспортни организации, както и много правителствени организации и се управлява от името на „Bad Rabbit“ .
Според съобщенията в медиите, много компютри са кодирани с тази кибератака. Обществените източници потвърдиха, че компютърните системи на Киевското метро заедно с летището в Одеса, както и други многобройни организации от Русия, са засегнати.
Зловредният софтуер, използван за тази кибер-атака, беше „Disk Coder.D“ - нов вариант на откупния софтуер, който популярно се използва от името на „Петя“. Предишната кибератака от Disk Coder остави щети в глобален мащаб през юни 2017 г.
ESET за Bad Rabbit.
Телеметричната система на ESET съобщава за многобройни случаи на Disk Coder. В рамките на Русия и Украйна обаче има открития на тази кибератака срещу компютри от Турция, България и няколко други страни.
Понастоящем от изследователите по сигурност на ESET се работи за цялостен анализ на този злонамерен софтуер. Според техните предварителни констатации, Disk Coder. D използва инструмента Mimikatz за извличане на идентификационните данни от засегнатите системи. Техните констатации и анализи са в ход и ние ще ви информираме веднага щом бъдат разкрити допълнителни подробности.
Телеметричната система ESET също така информира, че Украйна представлява само 12, 2% от общия брой пъти, когато са видели инфилтрация на Bad Rabbit. Следват останалите статистически данни:
- Русия: 65%
- Украйна: 12.2%
- България: 10.2%
- Турция: 6.4%
- Япония: 3, 8%
- Други: 2.4%
Гореспоменатото разпределение на страните беше компрометирано съответно от Bad Bad Rabbit. Интересното е, че всички тези страни бяха ударени едновременно. Твърде вероятно е групата вече да е стъпила в мрежата на засегнатите организации.
Как.
Методът на разпространение, използван за Bad Rabbit, е „Изтегляне с диск“. Казано по-просто, изтеглянето с драйв е непреднамерено изтегляне, което се показва на уебсайтове или имейли. При тези случаи „доставчикът“ твърди, че потребителят „се е съгласил“ с това конкретно изтегляне, въпреки че потребителят всъщност не е бил напълно наясно дали е започнал нежелано или злонамерено изтегляне на софтуер.
Подобно на случая с Bad Rabbit това, което видяхме досега, е изскачащ прозорец с искане за изтегляне на актуализирана версия на Flash Player на Adobe, както е показано по-долу.
Щом някой натисне бутона за изтегляне, се изтегля изпълним файл. Този изпълним файл, т.е. install_flash_player.exe е дропър за Bad Rabbit. В крайна сметка компютърът се заключва и показва бележката за откуп, както следва.
Освен това страницата за плащане на Bad Rabbit изглежда така.
Следват компрометираните уебсайтове.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // с-crimearu
- hxxp: //www.t.ksua
- hxxp: // най-dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Сега какво?
Кибер-атаките днес са се развили в много лица. Интернет вече не е безопасно място, поради което използването на автентичен VPN силно се препоръчва; особено при свързване към обществен Wi-Fi.
Създайте сигурно криптиран тунел между себе си и Интернет с водещия в индустрията доставчик на VPN услуги, Ivacy VPN и поемете контрола върху вашето онлайн присъствие и пазете ценните си данни.
