Image
13.11.2017 0 Comments

Virusový radar: Nástupca Petya sa prezliekol za zajaca. Zaútočil aj na kyjevské metro

Kyjevské metro, odeské letisko, ale aj viaceré celoštátne médiá v Rusku čelili koncom októbra ďalšej vlne ransomvérovej infekcie. ESET tento škodlivý kód deteguje ako Diskcoder.D (známy aj ako BadRabbit), pričom ide o nový variant Diskcodera.C (Petya), ktorý v júni 2017 napáchal škody za stovky miliónov eur.

Podobne ako pred letom aj v aktuálnom prípade malvér najprv zašifroval súbory obete na disku a následne nahradil MBR (Master Boot Record), čím po reštarte zablokoval počítač, a to ešte pred spustením operačného systému. Za odblokovanie útočníci žiadajú 0,05 bitcoinu.

Používatelia ESETu sú pred touto hrozbou chránení. Naša telemetria zaznamenala stovky prípadov Diskcodera.D, väčšinu z nich v Rusku a na Ukrajine, no objavili sa aj útoky na zariadenia v Turecku, Bulharsku a ďalších krajinách.

Čím sa teda nový variant Diskcodera.D (BadRabbit) líši od svojho predchodcu spred leta?

V prvom rade na svoje šírenie využíval takzvané drive-by sťahovanie. Pri tomto type útoku zločinci do kódu populárnych stránok vložia škodlivý JavaScript, ktorý následne o návštevníkovi pozbiera vybrané informácie a odošle ich na určený server. Na základe týchto dát sa potom útočníci rozhodnú, koho nainfikujú. Vybraným jednotlivcom či skupinám sa zobrazí falošná žiadosť o nainštalovanie aktualizácie Flash Playera. Ak sa nechá obeť nachytať, namiesto updatu si stiahne a spustí dropper, ktorý nainfikuje zariadenie ransomvérom.

Odlišná bola aj paleta spôsobov, ktorými sa BadRabbit šíril po lokálnej sieti. Prominentné miesto v nej mal napríklad uniknutý nástroj NSA, ktorý využíval zraniteľnosť EternalRomance. Okrem toho sa však malvér snažil hľadať a zneužívať aj predvolené používateľské mená a heslá, ako aj prihlasovacie údaje, ktoré ukradol v infikovaných systémoch pomocou nástroja Mimikatz.

Novinkou je aj fakt, že malvér zneužíval na šifrovanie súborov legitímny a open source nástroj DiskCryptor.

Pomyselnou čerešničkou na torte boli odkazy na filmový seriál Game of Thrones, z ktorého si útočníci prepožičali mená drakov Drogon, Rhaegal a Viserion a pomenovali tak tri vopred naplánované úlohy ransomvéru. Objavil sa aj odkaz na jednu z postáv filmu, konkrétne Grayworma.

Diskcoder.D však nie je jediný škodlivý kód, ktorý obsahoval odkazy na Game of Thrones. Podobný postup už použili aj útočníci stojaci za ransomvérom Locky.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Microsoft bije na poplach. Varuje pred zneužitím technológie rozpoznávania tváre

12.12.2018 00:20

Sofistikovaná technológia rozpoznávania tváre je jadrom mnohých čínskych dystopických bezpečnostných iniciatív. Pomocou 200 miliónov dohliadacích kamier, čo je štyrikrát viac ako v USA, čínske systémy ...

Bezpečnosť 1

Vodič zaspal v idúcej Tesle. Policajti využili systém Autopilota a vozidlo šikovne zastavili

06.12.2018 00:05

Kalifornská diaľničná kontrola (CHP - California Highway Patrol) tvrdí, že systém Autopilot Tesly by sa dal použiť na zastavenie auta po tom, čo jeho vodič zaspal. CHP hovorí, že jej hliadka sa pokúsi ...

Bezpečnosť

Mysleli ste, že ste v iPhone zmazali nežiaduce fotky? Hackeri našli spôsob, ako ich získať späť

28.11.2018 00:05

Vo virtuálnom priestore sa dvakrát ročne konajú "olympijské hry v hackingu", čiže medzinárodná súťaž Pwn2Own, ktorá špičkovým lovcom kybernetických chýb z celého sveta umožňuje predviesť svoje zručnos ...

q

Žiadne komentáre

Vyhľadávanie

OKI_122018

Najnovšie videá



PC forum button