Kaspersky Lab potwierdza, że ransomware Bad Rabbit jest powiązane z zagrożeniem ExPetr
Na podstawie dotychczasowej analizy badaczom z Kaspersky Lab udało się potwierdzić, że atak ransomware Bad Rabbit z 24 października posiada wyraźne powiązania ze szkodliwym programem ExPetr, który infekował firmy w czerwcu tego roku.
Analiza wykazała podobieństwo w mechanizmie szyfrującym dane dla okupu, a także w domenach wykorzystywanych przez cyberprzestępców do koordynowania ataku. Podobieństwa wykryto także w kodach źródłowych tych dwóch szkodliwych programów.
Podobnie jak ExPetr, Bad Rabbit próbuje uzyskiwać dane uwierzytelniające przy użyciu usługi WMIC systemu Windows. Jednak dotychczas badaczom nie udało się ustalić, czy Bad Rabbit korzysta z narzędzi EternalBlue oraz EternalRomance wykorzystujących luki w zabezpieczeniach systemu (jak robił to ExPetr).
Badanie wykazało, że cyberprzestępcy stojący za operacją Bad Rabbit przygotowywali się do ataku przynajmniej od lipca 2017 r., ustanawiając swoją sieć zainfekowanych stron, głównie należących do mediów i serwisów informacyjnych.
Na chwilę obecną Kaspersky Lab zidentyfikował niemal 200 celów ataku Bad Rabbit zlokalizowanych w Rosji, na Ukrainie, w Turcji i Niemczech. Wszystkie ataki miały miejsce 24 października 2017 r. i od tego czasu nie odnotowano szkodliwej aktywności w ramach tej operacji cyberprzestępczej. Gdy infekcja zaczęła się rozprzestrzeniać i badacze z różnych firm zaczęli analizować szkodliwy kod, atakujący natychmiast usunęli swoje ślady z zaatakowanych serwerów.
Dzięki wbudowanym mechanizmom proaktywnym produkty Kaspersky Lab skutecznie wykrywają i neutralizują omawiane zagrożenie od samego początku ataków.
Badacze z Kaspersky Lab w dalszym ciągu analizują atak Bad Rabbit. Więcej informacji na ten temat znajduje się na oficjalnym blogu Kaspersky Lab – Kaspersky Daily: https://kas.pr/7ov5. Zidentyfikowane dotychczas szczegóły techniczne znajdują się na stronie http://r.kaspersky.pl/GMM89.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.