Ransomware dla Europy Środkowej i Wschodniej

Poniedziałek, 30 października (11:00)

Bard Rabbit to nowe ransmoware, kierowane na rynki Europy Środkowej i Wschodniej - twierdzą eksperci Cisco Talos.

Zespół ekspertów bezpieczeństwa Cisco Talos wykonał analizę najnowszego ransomware, przypominającego działaniem malware Nyetya (Not-Petya). Nazwane Bad Rabbit ransomware jest kierowane na rynki Europy Środkowej i Wschodniej, w tym Rosji.

Infekcja następuje poprzez dropper, który znajduje się na skompromitowanych witrynach internetowych, głównie pornograficznych. Ma on postać aktualizacji wtyczki Flash Player, ale użytkownik musi uruchomić go ręcznie.

Tak jak dla malware Nyetya, Bad Rabbit wykorzystuje niestandardową wersję narzędzia do odzyskiwania haseł mimikatz i wykorzystuje udziały sieciowe SMB do próby rozprzestrzeniania się na dalsze hosty w sieci lokalnej. Atak ransomware łączy w sobie technikę rozpowszechniania złośliwego oprogramowania ze skompromitowanych witryn z funkcjonalnością robaka znanego z ostatnich ataków WannaCry i Netya (Not-Petya).

Do tej pory wiadomo, iż ransomware było aktywne przez około sześć godzin zanim witryna je rozpowszechniająca została zablokowana. Oznacza on jednak, że tworzone są już specjalne wersje ransomware, zróżnicowane regionalnie, co tworzy nowe zagrożenia.

MM

INTERIA.PL

Podziel się