Mund të jetë një paralajmërues i valës së tretë të viruseve ransomware, sipas Kaspersky Lab. Dy të parët ishin WannaCry dhe Petya sensacionale (aka NotPetya). Ekspertët e sigurisë kibernetike folën për MIR 24 për shfaqjen e një malware të ri të rrjetit dhe si të mbroheni kundër sulmit të tij të fuqishëm.
Shumica e viktimave të sulmit Bad Rabbit janë në Rusi. Në territorin e Ukrainës, Turqisë dhe Gjermanisë, ka shumë më pak prej tyre, tha kreu i departamentit të kërkimit antivirus në Kaspersky Lab. Vyacheslav Zakorzhevsky. Ndoshta, vendet ku përdoruesit ndjekin në mënyrë aktive burimet ruse të Internetit doli të jenë vendet e dyta më aktive.
Kur malware infekton një kompjuter, ai kodon skedarët në të. Ai përhapet nëpërmjet trafikut të internetit nga burimet e hakuara të internetit, ndër të cilat ishin kryesisht faqet e internetit të mediave federale ruse, si dhe kompjuterët dhe serverët e metrosë së Kievit, Ministrisë së Infrastrukturës së Ukrainës dhe Aeroportit Ndërkombëtar të Odessa. U regjistrua gjithashtu një përpjekje e pasuksesshme për të sulmuar bankat ruse nga 20 më të mirat.
Fakti që Fontanka, Interfax dhe një sërë botimesh të tjera u sulmuan nga Bad Rabbit u raportua dje nga Group-IB, një kompani e specializuar në sigurinë e informacionit. Analiza e kodit të virusit tregoi se Bad Rabbit është i lidhur me ransomware-in Not Petya, i cili në qershor këtë vit sulmoi energjinë, telekomunikacionin dhe kompanitë financiare në Ukrainë.
Sulmi u përgatit për disa ditë dhe, pavarësisht shkallës së infeksionit, ransomware kërkoi sasi relativisht të vogla nga viktimat e sulmit - 0,05 bitcoin (kjo është rreth 283 dollarë ose 15,700 rubla). Keni 48 orë për të shlyer. Pas skadimit të kësaj periudhe, shuma rritet.
Specialistët e Group-IB besojnë se ka shumë të ngjarë që hakerat nuk kanë ndërmend të bëjnë para. Qëllimi i tyre i mundshëm është të testojnë nivelin e mbrojtjes së rrjeteve të infrastrukturës kritike të ndërmarrjeve, departamenteve qeveritare dhe kompanive private.
Është e lehtë të sulmohesh
Kur një përdorues viziton një faqe të infektuar, kodi me qëllim të keq dërgon informacione rreth përdoruesit në një server të largët. Më pas, shfaqet një dritare pop-up që ju kërkon të shkarkoni një përditësim për Flash Player, i cili është i rremë. Nëse përdoruesi miraton operacionin "Install", një skedar do të shkarkohet në kompjuter, i cili nga ana tjetër do të nisë koduesin Win32/Filecoder.D në sistem. Më tej, qasja në dokumente do të bllokohet, një mesazh shpërblimi do të shfaqet në ekran.
Virusi Bad Rabbit skanon rrjetin për burime të hapura të rrjetit, pas së cilës lëshon një mjet për mbledhjen e kredencialeve në makinën e infektuar dhe kjo "sjellje" ndryshon nga paraardhësit e tij.
Specialistët e zhvilluesit ndërkombëtar të softuerit anti-virus Eset NOD 32 konfirmuan se Bad Rabbit është një modifikim i ri i virusit Petya, parimi i të cilit ishte i njëjtë - virusi kodonte informacionin dhe kërkonte një shpërblim në bitcoin (shuma ishte e krahasueshme me Lepuri i keq - 300 dollarë). Malware i ri rregullon gabimet në enkriptimin e skedarëve. Kodi i përdorur në virus është krijuar për të enkriptuar disqet logjike, disqet e jashtme USB dhe imazhet CD/DVD, si dhe ndarjet e diskut të bootable.
Duke folur për audiencën që u sulmua nga Bad Rabbit, Shefi i Mbështetjes së Shitjeve ESET Rusi Vitaly Zemsky deklaroi se 65% e sulmeve të ndaluara nga produktet antivirus të kompanisë bien në Rusi. Pjesa tjetër e gjeografisë së virusit të ri duket kështu:
Ukrainë - 12.2%
Bullgaria - 10.2%
Turqia - 6.4%
Japonia - 3.8%
të tjerët - 2.4%
“Ransomware përdor një softuer të njohur me burim të hapur të quajtur DiskCryptor për të enkriptuar disqet e viktimës. Ekrani i mesazheve të kyçjes që shikon përdoruesi është pothuajse identik me ekranet e kyçjes Petya dhe NotPetya. Sidoqoftë, kjo është e vetmja ngjashmëri që kemi parë deri më tani midis dy malware. Në të gjitha aspektet e tjera, BadRabbit është një lloj krejtësisht i ri dhe unik ransomware,” thotë CTO i Check Point Software Technologies. Nikita Durov.
Si të mbroheni nga lepuri i keq?
Pronarët e sistemeve operative përveç Windows mund të marrin frymë lehtësisht, pasi virusi i ri ransomware i bën të cenueshëm vetëm kompjuterët me këtë "bosht".
Për të mbrojtur kundër malware të rrjetit, ekspertët rekomandojnë krijimin e skedarit C:\windows\infpub.dat në kompjuterin tuaj, duke vendosur të drejtat e tij vetëm për lexim - kjo është e lehtë për t'u bërë në seksionin e administrimit. Në këtë mënyrë, ju do të bllokoni ekzekutimin e skedarit dhe të gjitha dokumentet që vijnë nga jashtë nuk do të kodohen edhe nëse rezultojnë të jenë të infektuar. Për të mos humbur të dhëna të vlefshme në rast infektimi me virus, bëni një kopje rezervë (kopje rezervë) tani. Dhe, sigurisht, ia vlen të kujtojmë se pagimi i një shpërblimi është një kurth që nuk ju garanton zhbllokimin e kompjuterit tuaj.
Kujtojmë se virusi në maj të këtij viti u përhap në të paktën 150 vende të botës. Ai e kodoi informacionin dhe kërkoi të paguante një shpërblim, sipas burimeve të ndryshme, nga 300 deri në 600 dollarë. Më shumë se 200 mijë përdorues vuajtën prej tij. Sipas një versioni, krijuesit e tij morën si bazë malware-in amerikan NSA Eternal Blue.
Alla Smirnova foli me ekspertë
Pershendetje te gjitheve! Vetëm një ditë tjetër në Rusi dhe Ukrainë, Turqi, Gjermani dhe Bullgari, filloi një sulm hakerësh në shkallë të gjerë me virusin e ri të enkriptimit Bad Rabbit, i njohur si Diskcoder.D. ransomware aktualisht sulmon rrjetet e korporatave të organizatave të mëdha dhe të mesme, duke bllokuar të gjitha rrjetet. Sot do t'ju tregojmë se çfarë është ky Trojan dhe si mund të mbroheni prej tij.
Çfarë është një virus?
Bad Rabbit (Bad Rabbit) funksionon sipas skemës standarde për ransomware: kur hyn në sistem, ai kodon skedarë për deshifrimin e të cilave hakerat kërkojnë 0,05 bitcoin, që në normë është 283 dollarë (ose 15,700 rubla). Kjo raportohet në një dritare të veçantë, ku në të vërtetë duhet të futni çelësin e blerë. Kërcënimi është një Trojan Trojan.Win32.Generic, megjithatë ai përmban edhe komponentë të tjerë, si p.sh Objekt i rrezikshëm.Multi.Generic dhe Ransom .Win 32.Gen.ftl.
Bad Rabbit - një virus i ri ransomware
Është ende e vështirë të gjurmosh plotësisht të gjitha burimet e infeksionit, por ekspertët tani po punojnë për këtë. Me sa duket, kërcënimi hyn në PC përmes faqeve të infektuara që ridrejtohen, ose nën maskën e përditësimeve të rreme për shtojcat e njohura si Adobe Flash. Lista e vendeve të tilla vetëm po zgjerohet.
A është e mundur të hiqni virusin dhe si të mbroheni?
Duhet thënë menjëherë se për momentin të gjithë laboratorët antivirus kanë filluar të analizojnë këtë Trojan. Nëse kërkoni në mënyrë specifike informacione për heqjen e virusit, atëherë ai, si i tillë, nuk është. Le të hedhim poshtë këshillat standarde menjëherë - bëni një kopje rezervë të sistemit, një pikë kthimi, fshini skedarët e tillë dhe të tillë. Nëse nuk keni kursime, atëherë gjithçka tjetër nuk funksionon, hakerët i kanë menduar momente të tilla, për shkak të specifikimit të virusit.
Mendoj se së shpejti do të shpërndahen dekoderat për Bad Rabbit të bëra nga amatorë - nëse i ndiqni këto programe apo jo, kjo është puna juaj. Siç tregoi ransomware i mëparshëm Petya, kjo ndihmon pak njerëz.
Por ju mund ta parandaloni kërcënimin dhe ta hiqni atë kur përpiqeni të futeni në PC. Laboratorët e Kaspersky dhe ESET ishin të parët që reaguan ndaj raporteve për një epidemi virusi dhe ata tashmë po bllokojnë përpjekjet për depërtim. Shfletuesi Google Chrome gjithashtu filloi të identifikojë burimet e infektuara dhe të paralajmërojë për rrezikun e tyre. Ja çfarë duhet të bëni për t'u mbrojtur nga BadRabbit në radhë të parë:
- Nëse përdorni Kaspersky, ESET, Dr.Web ose analoge të tjera të njohura për mbrojtje, atëherë duhet patjetër të përditësoni bazat e të dhënave. Gjithashtu, për Kaspersky, duhet të aktivizoni “Activity Monitoring” (System Watcher) dhe në ESET, të aplikoni nënshkrimet me përditësimin 16295.
- Nëse nuk përdorni antiviruse, atëherë duhet të bllokoni ekzekutimin e skedarëve C:\Windows\infpub.dat dhe C:\Windows\cscc.dat. Kjo bëhet përmes Redaktorit të Politikave të Grupit, ose programit AppLocker për Windows.
- Sigurohuni që të bëni kopje rezervë të sistemit tuaj. Në teori, një kopje duhet të ruhet gjithmonë në një media të lëvizshme. Këtu është një video tutorial i shkurtër se si ta krijoni atë.
Është e dëshirueshme të çaktivizoni ekzekutimin e shërbimit - Instrumentet e menaxhimit të Windows (WMI). Në dhjetëshen e parë quhet shërbimi "Instrumentimi i menaxhimit të Windows". Nëpërmjet butonit të djathtë, futni vetitë e shërbimit dhe zgjidhni in "Lloji i fillimit" modaliteti "I paaftë".
konkluzioni
Si përfundim, ia vlen të thuhet gjëja më e rëndësishme - nuk duhet të paguani një shpërblim, pavarësisht se çfarë keni koduar. Veprime të tilla vetëm nxisin mashtruesit të krijojnë sulme të reja virusesh. Ndiqni forumet e kompanive antivirus, të cilat shpresoj se së shpejti do të studiojnë virusin Bad Rabbit dhe do të gjejnë një pilulë efektive. Sigurohuni që të ndiqni hapat e mësipërm për të mbrojtur sistemin tuaj operativ. Në rast vështirësish në zbatimin e tyre, çabonohuni në komente.
Sulmi i tretë kibernetik i madh në një vit. Këtë herë një virus me një emër të ri Bad Rabbit dhe zakone të vjetra - enkriptimi i të dhënave dhe zhvatja e parave për zhbllokimin. Dhe në zonën e prekur janë ende Rusia, Ukraina dhe disa vende të tjera të CIS.
Bad Rabbit vepron sipas skemës së zakonshme: dërgon një email phishing me një virus të bashkangjitur ose një lidhje. Në veçanti, sulmuesit mund të paraqiten si mbështetje teknike të Microsoft dhe t'u kërkojnë atyre të hapin urgjentisht një skedar të bashkangjitur ose të ndjekin një lidhje. Ekziston një rrugë tjetër shpërndarjeje - një dritare e rreme e përditësimit të Adobe Flash Player. Në të dyja rastet, Bad Rabbit vepron në të njëjtën mënyrë si sensacionali jo shumë kohë më parë, ai kodon të dhënat e viktimës dhe kërkon një shpërblim prej 0.05 bitcoin, që është afërsisht 280 dollarë me kursin e këmbimit më 25 tetor 2017. Viktimat e epidemisë së re ishin Interfax, edicioni i Fontanka në Shën Petersburg, Metroja e Kievit, aeroporti i Odesës dhe Ministria e Kulturës e Ukrainës. Ka prova që virusi i ri u përpoq të sulmonte disa banka të njohura ruse, por kjo ide dështoi. Ekspertët e lidhin Bad Rabbit me sulmet e mëparshme të mëdha të regjistruara këtë vit. Dëshmi për këtë është softueri i ngjashëm i enkriptimit Diskcoder.D, dhe ky është i njëjti kriptor Petya, i modifikuar vetëm pak.
Si të mbroheni nga lepuri i keq?
Ekspertët rekomandojnë që pronarët e kompjuterëve Windows të krijojnë skedarin "infpub.dat" dhe ta vendosin atë në dosjen Windows në diskun "C". Si rezultat, shtegu duhet të duket kështu: C:\windows\infpub.dat. Kjo mund të bëhet duke përdorur një bllok shënimesh të rregullt, por me të drejta Administratori. Për ta bërë këtë, gjejmë lidhjen me programin Notepad, kliko me të djathtën dhe zgjidhni "Run as Administrator".
Atëherë ju vetëm duhet ta ruani këtë skedar në adresën C:\windows\, domethënë në dosjen Windows në diskun C. Emri i skedarit: infpub.dat, me "dat" që është zgjerimi i skedarit. Mos harroni të zëvendësoni shtesën e paracaktuar të bllokut të shënimeve "txt" me "dat". Pasi të ruani skedarin, hapni dosjen e Windows, gjeni skedarin e krijuar infpub.dat, kliko me të djathtën mbi të dhe zgjidhni "Properties", ku në fund duhet të kontrolloni "Vetëm Lexo". Kështu, edhe nëse kapni virusin Bad Rabbit, ai nuk do të jetë në gjendje t'i kodojë të dhënat tuaja.
Masat parandaluese
Mos harroni se ju mund të mbroni veten nga çdo virus thjesht duke ndjekur disa rregulla. Duket e rëndomtë, por asnjëherë letra të hapura, e aq më tepër bashkëngjitjet e tyre, nëse adresa ju duket e dyshimtë. Emailet phishing, pra maskimi si shërbime të tjera, janë metoda më e zakonshme e infeksionit. Kujdes çfarë hapni. Nëse skedari i bashkangjitur quhet "Important document.docx_______.exe" në letër, atëherë definitivisht nuk duhet ta hapni këtë skedar. Përveç kësaj, ju duhet të keni kopje rezervë të skedarëve të rëndësishëm. Për shembull, një arkiv familjar me foto ose dokumente pune mund të kopjohet në një disk të jashtëm ose në një hapësirë ruajtjeje në renë kompjuterike. Mos harroni se sa e rëndësishme është përdorimi i një versioni të licencuar të Windows dhe instalimi i përditësimeve rregullisht. Arnimet e sigurisë lëshohen nga Microsoft rregullisht dhe ata që i instalojnë nuk kanë probleme me viruse të tilla.
Fundi i tetorit të këtij viti u shënua nga shfaqja e një virusi të ri që sulmoi në mënyrë aktive kompjuterët e përdoruesve të korporatave dhe atyre shtëpiake. Virusi i ri është një ransomware dhe quhet Bad Rabbit, që do të thotë lepur i keq. Me ndihmën e këtij virusi u sulmuan faqet e internetit të disa mediave ruse. Më vonë, virusi u gjet edhe në rrjetet e informacionit të ndërmarrjeve ukrainase. Aty u sulmuan rrjetet e informacionit të metrosë, ministrive të ndryshme, aeroporteve ndërkombëtare e kështu me radhë. Pak më vonë, një sulm i ngjashëm virusi u vu re në Gjermani dhe Turqi, megjithëse aktiviteti i tij ishte dukshëm më i ulët se në Ukrainë dhe Rusi.
Një virus me qëllim të keq është një plug-in i veçantë që, pasi hyn në një kompjuter, kodon skedarët e tij. Pasi informacioni të jetë i koduar, sulmuesit përpiqen të marrin shpërblime nga përdoruesit për deshifrimin e të dhënave të tyre.
Përhapja e virusit
Ekspertët nga laboratori i zhvillimit antivirus ESET analizuan algoritmin e rrugës së përhapjes së virusit dhe arritën në përfundimin se është një virus i modifikuar që u përhap si virusi Petya jo shumë kohë më parë.
Ekspertët e laboratorit ESET kanë llogaritur se shtojcat me qëllim të keq janë shpërndarë nga burimi 1dnscontrol.com dhe adresa IP IP5.61.37.209. Disa burime të tjera lidhen gjithashtu me këtë domen dhe IP, duke përfshirë safe-check.host, webcheck01.net, secureinbox.email, webdefense1.net, safe-dns1.net, firewebmail.com.
Specialistët hetuan se pronarët e këtyre faqeve regjistronin shumë burime të ndryshme, për shembull, ato përmes të cilave, me ndihmën e postimeve spam, ata përpiqen të shesin ilaçe të falsifikuara. Specialistët e ESET nuk përjashtojnë që me ndihmën e këtyre burimeve, duke përdorur spam dhe phishing, është kryer sulmi kryesor kibernetik.
Si infektohet virusi Bad Rabbit?
Specialistët e laboratorit të forenzikës kompjuterike hetuan se si u fut virusi në kompjuterët e përdoruesve. U zbulua se në shumicën e rasteve virusi i ransomware Bad Rabbit u shpërnda si një përditësim në Adobe Flash. Domethënë, virusi nuk ka përdorur asnjë dobësi të sistemit operativ, por është instaluar nga vetë përdoruesit, të cilët, të pavetëdijshëm për këtë, miratuan instalimin e tij, duke menduar se po përditësonin shtojcën Adobe Flash. Kur virusi hynte në rrjetin lokal, ai do të vidhte hyrjet dhe fjalëkalimet nga memorja dhe do të përhapej vetë në sistemet e tjera kompjuterike.
Si hakerët zhvatin para
Pasi virusi ransomware është instaluar në kompjuter, ai kodon informacionin e ruajtur. Më pas, përdoruesit marrin një mesazh që tregon se për të hyrë në të dhënat e tyre, ata duhet të bëjnë një pagesë në faqen e caktuar të internetit të errët. Për ta bërë këtë, së pari duhet të instaloni një shfletues special Tor. Për faktin se kompjuteri do të zhbllokohet, sulmuesit zhvatin pagesën në shumën 0.05 bitcoin. Sot, me një çmim prej 5600 dollarë për 1 Bitcoin, kjo është afërsisht 280 dollarë për zhbllokimin e një kompjuteri. Për të kryer një pagesë, përdoruesit i jepet një periudhë kohore e barabartë me 48 orë. Pas kësaj periudhe, nëse shuma e kërkuar nuk është transferuar në llogarinë elektronike të sulmuesit, shuma rritet.
Si të mbroheni nga virusi
- Për të mbrojtur veten nga infeksioni me virusin Bad Rabbit, duhet të bllokoni aksesin nga mjedisi i informacionit në domenet e mësipërme.
- Për përdoruesit e shtëpisë, duhet të përditësoni versionin aktual të Windows si dhe programin antivirus. Në këtë rast, skedari me qëllim të keq do të zbulohet si një virus ransomware, i cili do të përjashtojë mundësinë e instalimit të tij në kompjuter.
- Ata përdorues që përdorin antivirusin e integruar të sistemit operativ Windows tashmë kanë mbrojtje kundër këtyre ransomware. Është implementuar në aplikacionin Windows Defender Antivirus.
- Zhvilluesit e programit antivirus nga Kaspersky Lab këshillojnë të gjithë përdoruesit që të kopjojnë periodikisht të dhënat e tyre. Për më tepër, ekspertët rekomandojnë bllokimin e ekzekutimit të skedarëve c:\windows\infpub.dat, c:\WINDOWS\cscc.dat dhe, nëse është e mundur, çaktivizoni përdorimin e shërbimit WMI.
konkluzioni
Secili nga përdoruesit e kompjuterit duhet të kujtojë se siguria kibernetike duhet të jetë e para kur punoni në rrjet. Prandaj, gjithmonë duhet të monitoroni përdorimin e vetëm burimeve të verifikuara të informacionit dhe të përdorni me kujdes postën elektronike dhe rrjetet sociale. Është përmes këtyre burimeve që më së shpeshti kryhet përhapja e viruseve të ndryshme. Rregullat elementare të sjelljes në mjedisin e informacionit do të eliminojnë problemet që lindin gjatë një sulmi virusi.
Virusi i enkriptimit Bad Rabbit, të cilin mediat ruse u sulmuan një ditë më parë, gjithashtu u përpoq të sulmonte bankat ruse nga 20 më të mirat, tha për Forbes Group-IB, i cili heton dhe parandalon krimin kibernetik. Përfaqësuesi i kompanisë nuk pranoi të sqarojë detaje rreth sulmeve ndaj institucioneve të kreditit, duke shpjeguar se Group-IB nuk zbulon informacione për klientët që përdorin sistemin e tij të zbulimit të ndërhyrjeve.
Sipas ekspertëve të sigurisë kibernetike, përpjekjet për të infektuar infrastrukturat e bankave ruse me virus u zhvilluan më 24 tetor nga ora 13:00 deri në orën 15:00 me orën e Moskës. Group-IB beson se sulmet kibernetike kanë demonstruar mbrojtje më të mirë për bankat në krahasim me kompanitë në sektorin jo-bankar. Më parë, kompania raportoi se një virus i ri ransomware, ndoshta i lidhur me epideminë e qershorit të ransomware NotPetya (kjo tregohet nga rastësi në kod), sulmoi mediat ruse. Bëhej fjalë për sistemet e informacionit të agjencisë Interfax, si dhe serverët e portalit të lajmeve të Shën Petersburgut Fontanka. Përveç kësaj, virusi goditi sistemet e Metrosë së Kievit, Ministrinë e Infrastrukturës së Ukrainës dhe Aeroportin Ndërkombëtar të Odessa. NotPetya goditi energjinë, telekomunikacionin dhe kompanitë financiare kryesisht në Ukrainë këtë verë. Për deshifrimin e skedarëve të infektuar me virusin BadRabbit, sulmuesit kërkojnë 0.05 bitcoin, që me kursin aktual të këmbimit është afërsisht i barabartë me 283 dollarë ose 15,700 rubla.
Kaspersky Lab sqaroi se këtë herë shumica e viktimave u zgjodhën nga hakerat në Rusi. Megjithatë, sulme të ngjashme u regjistruan në kompani në Ukrainë, Turqi dhe Gjermani, por "në numër shumë më të vogël". “Të gjitha shenjat tregojnë se ky është një sulm i synuar ndaj rrjeteve të korporatave. Përdoren metoda të ngjashme me ato që kemi vërejtur në sulmin ExPetr, megjithatë, ne nuk mund ta konfirmojmë lidhjen me ExPetr, "tha një përfaqësues i kompanisë. Bashkëbiseduesi i Forbes shtoi se të gjitha produktet e Kaspersky Lab "zbulojnë këto skedarë me qëllim të keq si UDS:DangerousObject.Multi.Generic".
Si të mbroheni?
Për t'u mbrojtur nga ky sulm, Kaspersky Lab rekomandoi përdorimin e një antivirusi me KSN të aktivizuar dhe modulin e Monitorimit të Sistemit. "Nëse zgjidhja e sigurisë e Kaspersky Lab nuk është e instaluar, ne rekomandojmë që të mos lejohet ekzekutimi i skedarëve me emrat c:\windows\infpub.dat dhe C:\Windows\cscc.dat duke përdorur mjetet e administrimit të sistemit," këshilloi kreu i anti- Departamenti i kërkimit të viruseve në Laboratorin Kaspersky" Vyacheslav Zakorzhevsky.
Group-IB vëren se në mënyrë që virusi të mos jetë në gjendje të enkriptojë skedarët, "ju duhet të krijoni skedarin C:\windows\infpub.dat dhe ta vendosni në vetëm për lexim". Pas kësaj, edhe nëse infektohen, skedarët nuk do të kodohen, tha kompania. Në të njëjtën kohë, ju duhet të izoloni menjëherë kompjuterët që janë parë duke dërguar skedarë të tillë keqdashës, në mënyrë që të shmangni infektimin në shkallë të gjerë të kompjuterëve të tjerë të lidhur në rrjet. Pas kësaj, përdoruesit duhet të sigurohen që kopjet rezervë të nyjeve kryesore të rrjetit janë të përditësuara dhe të paprekura.
Kur të përfundojnë hapat fillestarë, përdoruesi këshillohet të përditësojë sistemet operative dhe sistemet e sigurisë, duke bllokuar njëkohësisht adresat IP dhe emrat e domeneve nga të cilët janë shpërndarë skedarët me qëllim të keq. Group-IB rekomandon ndryshimin e të gjitha fjalëkalimeve në ato më komplekse dhe vendosjen e një bllokuesi pop-up, si dhe ndalimin e ruajtjes së fjalëkalimeve në LSA Dump në tekst të qartë.
Kush qëndron pas sulmit të BadRabbit
Në vitin 2017, dy epidemitë më të mëdha të ransomware u regjistruan tashmë - WannaCry (sulmuan 200,000 kompjuterë në 150 vende) dhe ExPetr. Ky i fundit është Petya dhe në të njëjtën kohë NotPetya, vëren Kaspersky Lab. Tani, sipas kompanisë, "fillon e treta". Emri i ransomware-it të ri Bad Rabbit "është i shkruar në një faqe në rrjetin e errët që krijuesit e tij dërgojnë për të kërkuar detaje," tha kompania. Group-IB beson se Bad Rabbit është një version i modifikuar i NotPetya me rregullime të gabimeve në algoritmin e kriptimit. Në veçanti, kodi Bad Rabbit përfshin blloqe që përsërisin plotësisht NotPetya.
ESET Rusia pranon që malware Win32/Diskcoder.D i përdorur në sulm është një version i modifikuar i Win32/Diskcoder.C, i njohur më mirë si Petya/NotPetya. Siç tha për Forbes Vitaly Zemskikh, kreu i mbështetjes së shitjeve në ESET Rusia, statistikat e sulmeve sipas vendeve "korrespondojnë kryesisht me shpërndarjen gjeografike të faqeve që përmbajnë JavaScript keqdashëse". Kështu, pjesa më e madhe e infeksioneve ka ndodhur në Rusi (65%), e ndjekur nga Ukraina (12.2%), Bullgaria (10.2%), Turqia (6.4%) dhe Japonia (3.8%).
Infeksioni me virusin Bad Rabbit ndodhi pasi vizitoi faqet e hakuara. Hakerët shkarkuan një injeksion JavaScript në burimet e komprometuara në kodin HTML, i cili u tregoi vizitorëve një dritare të rreme që ofronte për të instaluar një përditësim në Adobe Flash player. Nëse përdoruesi pranoi përditësimin, atëherë një skedar me qëllim të keq me emrin "install_flash_player.exe" u instalua në kompjuter. “Duke infektuar një stacion pune në një organizatë, kriptori mund të përhapet brenda rrjetit të korporatës nëpërmjet protokollit SMB. Ndryshe nga paraardhësi i tij Petya/NotPetya, Bad Rabbit nuk përdor shfrytëzimin EthernalBlue – në vend të kësaj, ai skanon rrjetin për burime të ekspozuara të rrjetit,” thotë Zemskikh. Më pas, mjeti Mimikatz lëshohet në makinën e infektuar për të mbledhur kredencialet. Për më tepër, ofrohet një listë e koduar e identifikimit dhe fjalëkalimeve.
Nuk ka ende informacion se kush i organizoi sulmet e hakerëve. Në të njëjtën kohë, sipas Group-IB, sulme të ngjashme masive nga WannaCry dhe NotPetya mund të lidhen me grupe hakerash të financuara nga qeveria. Ekspertët nxjerrin këtë përfundim mbi bazën se përfitimi financiar nga sulme të tilla, krahasuar me kompleksitetin e zbatimit të tyre, është "i papërfillshëm". “Me shumë gjasa, këto nuk ishin përpjekje për të fituar para, por për të kontrolluar nivelin e mbrojtjes së rrjeteve të infrastrukturës kritike të ndërmarrjeve, departamenteve qeveritare dhe kompanive private,” përfundojnë ekspertët. Një zëdhënës i Group-IB konfirmoi për Forbes se virusi i fundit - Bad Rabbit - mund të jetë një provë e mbrojtjes së infrastrukturës së qeverisë dhe biznesit. “Po, është e mundur. Duke pasur parasysh se sulmet u kryen në drejtim të pikës - në objekte kritike të infrastrukturës - aeroport, metro, agjenci qeveritare, "shpjegon bashkëbiseduesi i Forbes.
Duke iu përgjigjur një pyetjeje në lidhje me autorët e sulmit të fundit, ESET Rusi thekson se duke përdorur vetëm mjetet e një kompanie antivirus, është e pamundur të kryhet një hetim cilësor dhe të identifikohen personat e përfshirë, kjo është detyrë e specialistëve të një tjetër. profili. “Si një kompani antivirus, ne identifikojmë metodat dhe objektivat e sulmeve, mjetet keqdashëse të sulmuesve, dobësitë dhe shfrytëzimet. Kërkimi i autorëve, motivet e tyre, kombësia e kështu me radhë nuk është përgjegjësia jonë”, tha një përfaqësues i kompanisë, duke premtuar se do të nxjerrë përfundime për emërimin e Bad Rabbit bazuar në rezultatet e hetimit. "Fatkeqësisht, në të ardhmen e afërt do të shohim shumë incidente të tilla - vektori dhe skenari i këtij sulmi kanë treguar efikasitet të lartë," parashikon ESET Rusia. Bashkëbiseduesi i Forbes kujton se në vitin 2017 kompania parashikoi një rritje të numrit të sulmeve të synuara ndaj sektorit të korporatave, kryesisht ndaj organizatave financiare (me më shumë se 50%, sipas vlerësimeve paraprake). "Këto parashikime tani po bëhen të vërteta, ne po shohim një rritje të numrit të sulmeve të kombinuara me një rritje të dëmtimit të kompanive të prekura," pranon ai.
