Image
13.11.2017 0 Comments

Virusový radar: Nástupca Petya sa prezliekol za zajaca. Zaútočil aj na kyjevské metro

Kyjevské metro, odeské letisko, ale aj viaceré celoštátne médiá v Rusku čelili koncom októbra ďalšej vlne ransomvérovej infekcie. ESET tento škodlivý kód deteguje ako Diskcoder.D (známy aj ako BadRabbit), pričom ide o nový variant Diskcodera.C (Petya), ktorý v júni 2017 napáchal škody za stovky miliónov eur.

Podobne ako pred letom aj v aktuálnom prípade malvér najprv zašifroval súbory obete na disku a následne nahradil MBR (Master Boot Record), čím po reštarte zablokoval počítač, a to ešte pred spustením operačného systému. Za odblokovanie útočníci žiadajú 0,05 bitcoinu.

Používatelia ESETu sú pred touto hrozbou chránení. Naša telemetria zaznamenala stovky prípadov Diskcodera.D, väčšinu z nich v Rusku a na Ukrajine, no objavili sa aj útoky na zariadenia v Turecku, Bulharsku a ďalších krajinách.

Čím sa teda nový variant Diskcodera.D (BadRabbit) líši od svojho predchodcu spred leta?

V prvom rade na svoje šírenie využíval takzvané drive-by sťahovanie. Pri tomto type útoku zločinci do kódu populárnych stránok vložia škodlivý JavaScript, ktorý následne o návštevníkovi pozbiera vybrané informácie a odošle ich na určený server. Na základe týchto dát sa potom útočníci rozhodnú, koho nainfikujú. Vybraným jednotlivcom či skupinám sa zobrazí falošná žiadosť o nainštalovanie aktualizácie Flash Playera. Ak sa nechá obeť nachytať, namiesto updatu si stiahne a spustí dropper, ktorý nainfikuje zariadenie ransomvérom.

Odlišná bola aj paleta spôsobov, ktorými sa BadRabbit šíril po lokálnej sieti. Prominentné miesto v nej mal napríklad uniknutý nástroj NSA, ktorý využíval zraniteľnosť EternalRomance. Okrem toho sa však malvér snažil hľadať a zneužívať aj predvolené používateľské mená a heslá, ako aj prihlasovacie údaje, ktoré ukradol v infikovaných systémoch pomocou nástroja Mimikatz.

Novinkou je aj fakt, že malvér zneužíval na šifrovanie súborov legitímny a open source nástroj DiskCryptor.

Pomyselnou čerešničkou na torte boli odkazy na filmový seriál Game of Thrones, z ktorého si útočníci prepožičali mená drakov Drogon, Rhaegal a Viserion a pomenovali tak tri vopred naplánované úlohy ransomvéru. Objavil sa aj odkaz na jednu z postáv filmu, konkrétne Grayworma.

Diskcoder.D však nie je jediný škodlivý kód, ktorý obsahoval odkazy na Game of Thrones. Podobný postup už použili aj útočníci stojaci za ransomvérom Locky.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

PR: Staňte sa špecialistom na alarmy. Certifikované školenie aj vo vašom meste!

31.08.2018 08:01

Láka vás začať montovať alarmy prestížnej značky Jablotron? Chcete sa stať certifikovaným odborníkom v tejto oblasti? Tak si do svojho diára poznačte termíny najbližších školení:  18 a 19. 9. 2018  v  ...

Bezpečnosť

Startup učí autonómne vozidlá rozpoznávať zámery chodcov, či vstúpia na cestu alebo počkajú

22.08.2018 00:10

Chodci predstavujú jednu z najväčších výziev pre autonómne vozidlá - nakoľko ostatné autá sa pohybujú viac-menej predvídateľným spôsobom, no pohyb chodcov je nepravidelný a ťažko sa dá vopred odhadnúť ...

Bezpečnosť

Hackeri by mohli zneužiť faxy v multifunkčných zariadeniach na ovládnutie celej firemnej siete

20.08.2018 00:05

Vo veku okamžitých správ cez internet sa fax považuje za archaický kus technológie. No výskumní pracovníci zo spoločnosti Check Point varujú, že kybernetickí kriminálnici môžu využívať zraniteľnosti, ...

q

Žiadne komentáre

Vyhľadávanie

e-learnmedia_2018

Najnovšie videá



PC forum button