Μια μεγάλη επίθεση ransomware πλήττει τους υπολογιστές στη Ρωσία και την Ουκρανία και θυμίζει το ξέσπασμα του NotPetya που προκάλεσε ζημιές δισεκατομμύριων ευρώ τον Ιούνιο.
Το κακόβουλο λογισμικό που φέρει το όνομα «Bad Rabbit» κρυπτογραφεί τα δεδομένα των «μολυσμένων» μηχανημάτων πριν ζητήσει την πληρωμή 0,05 bitcoin (περίπου 280 δολάρια) για το κλειδί αποκρυπτογράφησης. Η απαίτηση λύτρων εκφράζεται με παρόμοιο τρόπο με εκείνον της έκρηξης του Ιουνίου, και μέχρι στιγμής έχουν παρουσιαστεί πάνω από 200 περιστατικά σε Ρωσία, Ουκρανία, Τουρκία και Γερμανία. Οι ερευνητές της ρωσικής εταιρείας ασφαλείας Kaspersky Labs επιβεβαίωσαν ότι το νέο κακόβουλο λογισμικό χρησιμοποιεί ίδιες μεθόδους με εκείνες κατά τη διάρκεια επίθεσης του NotPetya. Τόσο η Kaspersky Labs, όσο και η ESET και η Proofpoint (εταιρείες ασφάλειας δικτύων υπολογιστών) σημειώνουν ότι η επίθεση διαδόθηκε μέσω ενός πλαστού Adobe Flash update.
Μεταξύ των πληγέντων οργανισμών είναι το Μετρό του Κιέβου, ο Ρωσικός οργανισμός μέσων ενημέρωσης Interfax, το Υπουργείο Υποδομών της Ουκρανίας και το αεροδρόμιο της Οδησσού. Η Interfax αναγκάστηκε να δημοσιεύσει τα νέα της μόνο στη σελίδα του Facebook (κατά τη διάρκεια της διακοπής), δεδομένου ότι οι server της δεν λειτουργούσαν για αρκετές ώρες. Με έναν τελείως ασυνήθιστο τρόπο, ο κώδικας του κακόβουλου λογισμικού είναι γεμάτος με αναφορές από τη σύγχρονη ποπ κουλτούρα, συμπεριλαμβάνει τα ονόματα των δύο δράκων από το Game of Thrones και του χαρακτήρα Grey Worm που χρησιμοποιούνται ως ονόματα για τις προγραμματισμένες εργασίες. Μια λίστα με κωδικούς πρόσβασης που το κακόβουλο λογισμικό δοκιμάζει (έτσι ώστε να εξαπλωθεί) περιλαμβάνει τις λέξεις «love», «sex», «god» και «secret» οι οποίες είχαν χαρακτηριστεί ως οι «τέσσερις πιο συνηθισμένοι κωδικοί πρόσβασης» στο κινηματογραφικό Hackers του 1995.
Αυτό που έχει περισσότερο σημασία, όμως, είναι ότι μόλις κάποιος υπολογιστής μολυνθεί με το ransomware, o χρήστης οδηγείται σε κάποιο deepweb site όπου πρέπει να πληρώσει το ποσό του 0,05 bitcoin προκειμένου να ανακτήσει την πρόσβαση στα κρυπτογραφημένα αρχεία του. Στη διάθεσή του θα έχει περίπου 40 ώρες για να κάνει την πληρωμή πριν ανέβει η τιμή, σύμφωνα με ένα χρονογράφο που ενεργοποιείται και χρονομετρεί αντίστροφα μέσα στο σκοτεινό ιστότοπο. Η Kaspersky Labs (ούτε κανείς άλλος), δεν μπορεί να επιβεβαιώσει ότι το Bad Rabbit σχετίζεται άμεσα με το NotPetya, αλλά μπορεί να πει με βεβαιότητα ότι χρησιμοποιεί πολύ σχετικές μεθόδους. Ο ισχυρότερος σύνδεσμος μεταξύ των δύο επιθέσεων βασίζεται στους servers που χρησιμοποιήθηκαν για τη διανομή του αρχικού λογισμικού. Ο ερευνητής της Kaspersky Labs, Costin Raiu, ανέφερε στο περιοδικό Forbes ότι ένα δίκτυο από hacked sites συνδεδεμένο αρχικά με το ΝotPetya, χρησιμοποιήθηκε πάλι τώρα για να φιλοξενήσει τα δευτερεύοντα κανάλια διανομής του Bad Rabbit. Ωστόσο, μέχρι τώρα δεν είναι σαφές ποιος κρύβεται πίσω από την επίθεση.
σχόλια