Bad Rabbit - o nouă campanie ransomware

2017/10/25 Popularitate 1307 Tweet

În data de 24 octombrie 2017, mai multe companii de securitate cibernetică au observat o nouă campanie de ransomware ce se propagă în Europa de Est și Rusia. Deși această campanie pare să fie înrudită cu ransomware-ul Petya, Bad Rabbit se distinge de cealaltă variantă prin mijloacele de distribuție ale malware-ului și o mare parte din cod.

UPDATE 31.10.2017: Conform raportului realizat de compania de securitate Cisco Talos, exploit-ul utilizat de ransomware pentru propagarea în rețeaua victimelor este EternalRomance, și nu EternalBlue. Această tehnică de propagare exploatează vulnerabilitățile adresate în buletinul de securitate MS17-010 realizat de compania Microsoft și a fost utilizată și în campania recentă NotPetya. De asemenea, pe baza modului de operare și asemănărilor privind tehnicile de evaziune, cercetătorii Cisco au conchis că autorii celor două campanii de ransomware sunt cel mai probabil aceiași.

Totodată, cercetătorii companiei ESET au corelat campania NotPetya cu gruparea de spionaj cibernetic TeleBots, responsabilă pentru mai multe campanii APT desfășurate în ultimii ani precum Sandworm, BlackEnergy, Electrum etc.

UPDATE 27.10.2017: Mai multe surse din industrie subliniază că majoritatea serverelor implicate în campanie au fost stopate să răspândească malware. Aparent, atacatorii ar fi dezafectat infrastructura la doar o zi după debutul campaniei. (blog.barkly.com)

Descriere

Conform mai multor surse din mediul online, principala metodă de distribuție a Bad Rabbit o reprezintă site-urile de tip watering-hole de pe care este descărcat malware-ul, sub pretextul unui update de Adobe Flash. Astfel, site-uri cunoscute sunt compromise, iar un javascript introdus în pagină afișează o fereastră de tip pop-up. Mesajul afișat solicită utilizatorului să descarce și să instaleze un update de Adobe Flash, pentru a continua să vizualizeze conținutul paginii. Odată instalat, malware-ul criptează fișierele cu una dintre extensiile hardcodate (vezi secțiunea impact).

Este de menționat faptul că malware-ul nu folosește niciun tip de exploit, ci se bazează pe interacțiunea utilizatorului, care trebuie să execute fișierul executabil descărcat (install_flash_player.exe).

Totodată, Bad Rabbit are o componentă de mișcare laterală, ce vizează share-urile SMB din rețea. Aceasta utilizează exploit-ul EternalRomance (MS17-010), o listă de combinații user/parolă hardcodate, precum și o versiune de mimikatz.

După instalare, malware-ul își asigură persistența prin crearea unor Scheduled Tasks, cu numele dragonilor din binecunoscutul serial 'Game of Thrones'. De asemenea, modifică MBR-ul pentru a afișa mesajul de răscumpărare, la repornirea calculatorului.

Impact

Odată infectată o stație de lucru, virusul încearcă răspândirea laterală în rețea și înlocuiește codul din zona MBR a discului de stocare cu o formă proprietară, ce afișează mesajul de răscumpărare (ransom note), apoi repornește sistemul.

Acest comportament aduce o caracteristică nouă față de alte versiuni de ransomware, în sensul că, adițional criptării fișierelor, se blochează inclusiv accesul la sistemul infectat.

Virusul criptează următoarele tipuri de fișiere (după extensie):

.3ds .7z . accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

Pentru criptarea datelor, malware-ul utilizează utilitarul legitim DiskCryptor.

Suma solicitată de atacatori pentru recuperarea accesului la sistemul afectat și la fișiere este echivalentul a 300 de dolari în moneda virtuală Bitcoin.

UPDATE 26.10.2017

Până acum, infecțiile s-au concentrat pe zona estică a Europei și Rusia. Una dintre primele victime care a anunțat faptul că a fost afectată de campania BadRabbit a fost trustul de presă Interfax din Rusia. De asemenea, firma de securitate Group-IB a susținut că mai multe organizații media din Rusia ar fi avut de suferit.

În plus, pe lista celoir afectați de campanie se adaugă instituții și organizații din Ucraina, inclusiv aeroportul din Odessa, sistemul de transport din Kiev și Ministerul Infrastructurii.

Conform companiei ESET, distribuția globală a infecțiilor este următoarea: Rusia (65%), Ucraina (12.2%), Bulgaria (10.2%), Turcia (6.4%), Japonia (3,8%) iar alte țări (2,4%).

Indicatori de compromitere

Hashuri (SHA256)

UUID

e50fef78-b949-11e7-841b-0050568e34e1

59ef5e25-eec0-4008-88b4-5a520a2b115a

59f0184a-9158-4f72-8ebe-6a8cac130004

e74b474f-b981-11e7-841b-0050568e34e1

85ef8d6a-ba4a-11e7-841b-0050568e34e1

Dropper:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

Payload:

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 C:\Windows\dispci.exe (diskcryptor client)

682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806 C:\Windows\cscc.dat (x32 diskcryptor drv)

0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 C:\Windows\cscc.dat (x64 diskcryptor drv)

579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648 C:\Windows\infpub.dat

2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035 (mimikatz-like x86)

301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c (mimikat-like x64)

Nume de Scheduled Tasks

viserion_

rhaegal

drogon

Servere infrastructură

1dnscontrol[.]com

185.149.120[.]3

Site-uri wateringhole:

hxxp://argumentiru[.]com

hxxp://www.fontanka[.]ru

hxxp://grupovo[.]bg

hxxp://www.sinematurk[.]com

hxxp://www.aica.co[.]jp

hxxp://spbvoditel[.]ru

hxxp://argumenti[.]ru

hxxp://www.mediaport[.]ua

hxxp://blog.fontanka[.]ru

hxxp://an-crimea[.]ru

hxxp://www.t.ks[.]ua

hxxp://most-dnepr[.]info

hxxp://osvitaportal.com[.]ua

hxxp://www.otbrana[.]com

hxxp://calendar.fontanka[.]ru

hxxp://www.grupovo[.]bg

hxxp://www.pensionhotel[.]cz

hxxp://www.online812[.]ru

hxxp://www.imer[.]ro

hxxp://novayagazeta.spb[.]ru

hxxp://i24.com[.]ua

hxxp://bg.pensionhotel[.]com

hxxp://ankerch-crimea[.]ru

Site-uri wateringhole (UPDATE 26.10.2017)

Injection server Compromised website Prima detecție Cea mai recentă detecție 185.149.120.3 aica.co.jp 2017-10-12 2017-10-19 www.dermavieskin.com 2017-10-21 2017-10-21 grupovo.bg 2017-10-09 2017-10-23 www.fitnes-trener.com.ua 2017-10-23 2017-10-23 www.afaceri-poligrafice.ro 2017-10-23 2017-10-23 grandua.ua 2017-10-20 2017-10-23 i24.com.ua 2017-10-21 2017-10-23 scanstockphoto.com 2017-10-09 2017-10-16 izgodni.bg 2017-10-13 2017-10-23 www.biotechusa.ru 2017-10-21 2017-10-21 www.mediaport.ua 2017-10-21 2017-10-21 www.armoniacenter.com 2017-10-23 2017-10-23 172.97.69.79 sweet-home.dn.ua 2017-08-08 2017-08-08 www.chnu.edu.ua 2017-05-31 2017-05-31 fitnes-trener.com.ua 2017-09-25 2017-09-25 www.t.ks.ua 2017-05-31 2017-10-19 www.fastfwd.ru 2017-08-09 2017-08-09 www.uscc.ua 2017-07-14 2017-08-29 bitte.net.ua 2017-05-31 2017-10-19 www.fitnes-trener.com.ua 2017-07-07 2017-09-25 ophthalmolog.kiev.ua 2017-06-11 2017-06-11 grandua.ua 2017-05-26 2017-10-23 i24.com.ua 2017-06-01 2017-10-23 akvadom.kiev.ua 2017-06-02 2017-09-03 ulianarudich.com.ua 2017-06-02 2017-10-11 football.zp.ua 2017-08-09 2017-08-09 www.mediaport.ua 2017-06-01 2017-08-05 chnu.edu.ua 2017-05-31 2017-07-13 evroremont.kharkov.ua 2017-05-31 2017-10-19 thecovershop.pl 2017-06-02 2017-10-15 www.tofisa.com 2017-04-07 2017-04-11 cream-dream.com.ua 2017-06-22 2017-10-18 go2odessa.ru 2017-07-?? 2017-07-?? bahmut.com.ua 2017-06-?? 2017-06-?? 91.236.116.50 abantyoreselurunler.com 2017-05-18 2017-05-18 aldingareefretreat.com 2017-06-10 2017-06-10 ftp9.net 2017-07-06 2017-07-06 magicofis.com 2017-05-27 2017-05-27 piiz.tk 2017-08-17 2017-08-22 tedizmir.k12.tr 2017-05-31 2017-06-29 websgramly.com 2017-04-18 2017-05-22 www.andronova.net 2017-03-30 2017-04-07 www.detaymaxinet.com 2017-05-13 2017-05-13 www.fikracenneti.com 2017-04-02 2017-07-14 www.gulenturizm.com.tr 2017-04-06 2017-04-11 www.ilgihastanesi.com 2017-05-02 2017-08-13 www.komedibahane.com 2017-03-29 2017-04-05 www.moonlightcinemaclub.com 2017-09-28 2017-09-28 www.musterihizmetlerinumarasi.com 2017-04-24 2017-04-24 www.techkafa.net 2017-04-03 2017-04-17 www.teknolojihaber.net 2017-04-02 2017-04-10 www.vertizontal.ro 2017-05-17 2017-05-17 38.84.134.15 izgodni.bg 2016-09-29 2016-09-29 montenegro-today.com 2016-11-25 2017-10-22 scanstockphoto.com 2016-12-09 2017-01-06 www.grupovo.bg 2016-09-29 2016-10-14 www.matasedita.sk 2016-10-19 2017-05-04 www.montenegro-today.com 2017-05-20 2017-05-20 www.myk104.com 2016-09-08 2016-12-03 www.nadupanyfanusik.sk 2016-09-28 2016-09-28 www.otbrana.com 2016-12-16 2017-03-07 www.sinematurk.com 2016-10-09 2016-10-09 www.ucarsoft.com 2016-11-02 2017-06-29

UPDATE 27.10.2017

Lista provizorie a site-urilor din România, care au fost compromise pentru a redirecta utilizatorii către serverul de pe care se putea descărca malware-ul de tip ransomware, a crescut la 48.



academicnet.ro

ace-economiesociala.ro

activedoctors.org

adlibri.ro

adrianadanaila.com

adventistbruxelles.org

aetm.ro

afaceri-poligrafice.ro

alegedorna.ro

alinabercu.com

amenajari-locuinte.ro

amicos.ro

ampgrup.ro

andra-cretu.com

andreevents.ro

anvelopeiarna-autocenter.ro

anvelope-service.ro

anvelopevara-autocenter.ro

apimond.ro

aquamundus.ro

aquariusconsult.com

archivumka.ro

armoniacenter.com

artbodyspa.ro

arvar.ro

asatm.ro

aspirelo.ro

athenee-palace.ro

atv-funtrans.ro

avocatiinbraila.ro

avocatiinbrasov.ro

avocatiinbucuresti.ro

axiautoonline.ro

axiservice.ro

http://balcoane.ro

bbooster.ro

bcarhitectura.ro

birou-avocatura.com

bizo.ro

bizzzarttattoo.ro

brixongroup.ro

btfprotect.ro

memorialulrevolutiei.ro

sosta.ro

stas2015.ro

toppromotions.ro



Site răscumpărare:

caforssztxqzf2nm[.]onion

Recomandări:

CERT-RO îndeamnă toți utilizatorii să-și actualizeze cât mai urgent sistemele de operare și aplicațiile și să implementeze următoarele măsuri:

Utilizarea unui produs antivirus/antimalware modern și actualizat cu ultimele semnături;

Actualizarea la zi a sistemului de operare și aplicațiilor instalate;

Dezactivarea protocolului SMB, dacă nu este necesar;

Dezactivarea WMI, dacă nu este necesar;

Utilizarea unei unelte de protejare împotriva modificării neautorizate a MBR, precum cea oferită de Talos: https://www.talosintelligence.com/mbrfilter;

Blocarea execuției fișierelor C:\windows\infpub.dat și c:\windows\cscc.dat

Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte;

Realizarea periodică a unor copii de siguranță (backup) pentru datele importante, folosind extensii non-standard;

Implementarea măsurilor din „Ghidul privind combaterea amenințărilor de tip ransomware” elaborat de CERT-RO și disponibil la adresa: https://cert.ro/vezi/document/ghid-protectie-ransomware.

Surse

https://blog.barkly.com/what-is-badrabbit-ransomware-faq

http://blog.talosintelligence.com/2017/10/bad-rabbit.html

https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Tibbar.A

https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

https://www.theregister.co.uk/2017/10/24/badrabbit_ransomware

https://www.riskiq.com/blog/labs/badrabbit/

https://motherboard.vice.com/en_us/article/d3dp5q/infrastructure-for-the-bad-rabbit-ransomware-appears-to-have-shut-down