Image
13.11.2017 0 Comments

Virusový radar: Nástupca Petya sa prezliekol za zajaca. Zaútočil aj na kyjevské metro

Kyjevské metro, odeské letisko, ale aj viaceré celoštátne médiá v Rusku čelili koncom októbra ďalšej vlne ransomvérovej infekcie. ESET tento škodlivý kód deteguje ako Diskcoder.D (známy aj ako BadRabbit), pričom ide o nový variant Diskcodera.C (Petya), ktorý v júni 2017 napáchal škody za stovky miliónov eur.

Podobne ako pred letom aj v aktuálnom prípade malvér najprv zašifroval súbory obete na disku a následne nahradil MBR (Master Boot Record), čím po reštarte zablokoval počítač, a to ešte pred spustením operačného systému. Za odblokovanie útočníci žiadajú 0,05 bitcoinu.

Používatelia ESETu sú pred touto hrozbou chránení. Naša telemetria zaznamenala stovky prípadov Diskcodera.D, väčšinu z nich v Rusku a na Ukrajine, no objavili sa aj útoky na zariadenia v Turecku, Bulharsku a ďalších krajinách.

Čím sa teda nový variant Diskcodera.D (BadRabbit) líši od svojho predchodcu spred leta?

V prvom rade na svoje šírenie využíval takzvané drive-by sťahovanie. Pri tomto type útoku zločinci do kódu populárnych stránok vložia škodlivý JavaScript, ktorý následne o návštevníkovi pozbiera vybrané informácie a odošle ich na určený server. Na základe týchto dát sa potom útočníci rozhodnú, koho nainfikujú. Vybraným jednotlivcom či skupinám sa zobrazí falošná žiadosť o nainštalovanie aktualizácie Flash Playera. Ak sa nechá obeť nachytať, namiesto updatu si stiahne a spustí dropper, ktorý nainfikuje zariadenie ransomvérom.

Odlišná bola aj paleta spôsobov, ktorými sa BadRabbit šíril po lokálnej sieti. Prominentné miesto v nej mal napríklad uniknutý nástroj NSA, ktorý využíval zraniteľnosť EternalRomance. Okrem toho sa však malvér snažil hľadať a zneužívať aj predvolené používateľské mená a heslá, ako aj prihlasovacie údaje, ktoré ukradol v infikovaných systémoch pomocou nástroja Mimikatz.

Novinkou je aj fakt, že malvér zneužíval na šifrovanie súborov legitímny a open source nástroj DiskCryptor.

Pomyselnou čerešničkou na torte boli odkazy na filmový seriál Game of Thrones, z ktorého si útočníci prepožičali mená drakov Drogon, Rhaegal a Viserion a pomenovali tak tri vopred naplánované úlohy ransomvéru. Objavil sa aj odkaz na jednu z postáv filmu, konkrétne Grayworma.

Diskcoder.D však nie je jediný škodlivý kód, ktorý obsahoval odkazy na Game of Thrones. Podobný postup už použili aj útočníci stojaci za ransomvérom Locky.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Google Mapy vám umožnia zdieľať aj stav vašej batérie. Aby ostatní videli či ste ok, keď sa nehlásite

16.02.2018 00:05

Ak hľadáte priateľa na hromadnom podujatí alebo čakáte na niekoho, kto je na ceste k vám, zdieľanie polohy je nástroj, ktorý vám môže skvele poslúžiť. No keď sa priateľovi vybije batéria v telefóne, t ...

Bezpečnosť

Komplexné zabezpečenie od Jablotronu s videoverifikačnou kamerou

16.02.2018 00:00

Najväčšou slabinou prakticky všetkých zabezpečovacích zariadení sú falošné poplachy. Nejde len o zbytočné výjazdy k mačke, ktorá aktivovala niektorý senzor, ale hlavne o postupné otupenie pozornosti, ...

Bezpečnosť

Ako funguje zabezpečenie domácej siete od Esetu

06.02.2018 13:25

Nadväzujeme na článok o zabezpečení zariadení IoT v domácej sieti. Téma vás zaujala a dostali sme od vás niekoľko otázok, ktoré by sa podľa prvého slova dali rozdeliť do troch skupín: Prečo by niekto ...

Žiadne komentáre

Vyhľadávanie

PC forum button

Najnovšie videá