Image
13.11.2017 0 Comments

Virusový radar: Nástupca Petya sa prezliekol za zajaca. Zaútočil aj na kyjevské metro

Kyjevské metro, odeské letisko, ale aj viaceré celoštátne médiá v Rusku čelili koncom októbra ďalšej vlne ransomvérovej infekcie. ESET tento škodlivý kód deteguje ako Diskcoder.D (známy aj ako BadRabbit), pričom ide o nový variant Diskcodera.C (Petya), ktorý v júni 2017 napáchal škody za stovky miliónov eur.

Podobne ako pred letom aj v aktuálnom prípade malvér najprv zašifroval súbory obete na disku a následne nahradil MBR (Master Boot Record), čím po reštarte zablokoval počítač, a to ešte pred spustením operačného systému. Za odblokovanie útočníci žiadajú 0,05 bitcoinu.

Používatelia ESETu sú pred touto hrozbou chránení. Naša telemetria zaznamenala stovky prípadov Diskcodera.D, väčšinu z nich v Rusku a na Ukrajine, no objavili sa aj útoky na zariadenia v Turecku, Bulharsku a ďalších krajinách.

Čím sa teda nový variant Diskcodera.D (BadRabbit) líši od svojho predchodcu spred leta?

V prvom rade na svoje šírenie využíval takzvané drive-by sťahovanie. Pri tomto type útoku zločinci do kódu populárnych stránok vložia škodlivý JavaScript, ktorý následne o návštevníkovi pozbiera vybrané informácie a odošle ich na určený server. Na základe týchto dát sa potom útočníci rozhodnú, koho nainfikujú. Vybraným jednotlivcom či skupinám sa zobrazí falošná žiadosť o nainštalovanie aktualizácie Flash Playera. Ak sa nechá obeť nachytať, namiesto updatu si stiahne a spustí dropper, ktorý nainfikuje zariadenie ransomvérom.

Odlišná bola aj paleta spôsobov, ktorými sa BadRabbit šíril po lokálnej sieti. Prominentné miesto v nej mal napríklad uniknutý nástroj NSA, ktorý využíval zraniteľnosť EternalRomance. Okrem toho sa však malvér snažil hľadať a zneužívať aj predvolené používateľské mená a heslá, ako aj prihlasovacie údaje, ktoré ukradol v infikovaných systémoch pomocou nástroja Mimikatz.

Novinkou je aj fakt, že malvér zneužíval na šifrovanie súborov legitímny a open source nástroj DiskCryptor.

Pomyselnou čerešničkou na torte boli odkazy na filmový seriál Game of Thrones, z ktorého si útočníci prepožičali mená drakov Drogon, Rhaegal a Viserion a pomenovali tak tri vopred naplánované úlohy ransomvéru. Objavil sa aj odkaz na jednu z postáv filmu, konkrétne Grayworma.

Diskcoder.D však nie je jediný škodlivý kód, ktorý obsahoval odkazy na Game of Thrones. Podobný postup už použili aj útočníci stojaci za ransomvérom Locky.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Europoslanci schválili pravidlá na prevádzku dronov. Niektoré funkcie budú musieť zabudovať už výrobcovia

19.06.2018 00:15

Poslanci Európskeho parlamentu schválili novelu pravidiel bezpečnosti civilného letectva, ktorá okrem iného zavádza celoúniové zásady na prevádzku dronov, zamerané na zvýšenie ich bezpečnosti. V súčas ...

Bezpečnosť

Ako na to: Čo robiť, keď dieťa prehltne gombíkovú batériu?

18.06.2018 00:20

V USA je ročne hospitalizovaných viac ako 3000 detí, ktorým sa podarilo rozobrať hračku či hodinky, pričom gombíkovú batériu vypadnutú z nich považovali za cukrík a prehltli ju. To môže spôsobiť vážne ...

Bezpečnosť 2

Slovensko čelí masívnym útokom hackerov

13.06.2018 00:11

Slovenský online priestor v posledných dňoch čelí masívnym DDOS útokom hackerov z celého sveta. Okrem iných slovenských webových adries útočníci v posledných dňoch napadli stránky Slovenského hydromet ...

q

Žiadne komentáre

Vyhľadávanie

SWAN_06

Najnovšie videá



PC forum button