Archiwa tagu: ransomware

BadRabbit – silniejsze „dziecko” Petya?

Kolejna epidemia rozprzestrzenia się przez Europę Wschodnią w tym tygodniu. Szkodliwe oprogramowania szyfrujące dyski zgłaszane zostają także w Stanach Zjednoczonych. Mimo, iż początkowe doniesienia mówiły o podobieństwach do dobrze znanych ataków typu Petya, nikt nie posunął się do stwierdzenia, że twórcy w obu przypadkach, są tymi samymi osobami.

Jednak jak się okazuje, części kodów zawarte w BadRabbit i Petya wzajemnie się pokrywają. Jakie możemy wyciągnąć wnioski? Wirus został stworzony przez tę samą grupę, lub kody Petya zostały sprzedane BadRabbit.

Firmy takie jak Malwarebytes, ESET, Bitdefender czy Kaspersky Lab, publikują raporty dotyczące wspólnych cech między tymi dwoma złośliwymi oprogramowaniami. „Bad Rabbit wydaje się być podobny do NotPetya, opiera się rownież na rozwiązaniu ransomware Patya” – mówią eksperci Cisco. „Duże fragmenty kodu wydają się być przepisywane” – dodają naukowcy.

„Zły królik” to pomysł APT TeleBots

Na podstawie raportów i wypowiedzi specjalistów od bezpieczeństwa, możemy – jak na razie – jedynie się tego domyślać. W czerwcu ESET powiązał atak ransomware NotPetya, właśnie z wyżej wymienioną grupą cyberprzestępców, którzy niechlubnie zasłynęli z ataku na infrastrukturę energetyczną Ukrainy w grudniu 2015 i 2016 roku.

Łącząc fakty, polityczne niesnaski oraz charakterystykę działania grupy, podejrzenia padają więc na podmiot znajdujący się pod kontrolą władz Rosyjskich. Hakerzy ponownie skoncentrowali swoje działania w tamtą stronę, niedługo po tym, jak Rosja przejęła półwysep Krymski, będący dawnym terytorium Ukrainy.

Liczba zarażeń Ukraińskich komputerów podczas ataku TeleBots stanowiła niemal 70% w skali pozostałych państw. W tej kwestii Petya i BadRabbit różnią się, ponieważ w tym przypadku najwięcej ataków miało miejsce w Rosji, jednak największe szkody wyrządzone zostały na Ukrainie. Nasuwa się więc pytanie, dlaczego zaatakowane zostały rownież cele w Rosji?

Możliwości jest kilka – albo TeleBots chce w ten sposób odciągnąć uwagę od możliwego związku Rosjan z atakami, albo zwyczajnie kraj oberwał rykoszetem, ponieważ dokładne wycelowanie jest niemal niemożliwe.

O czym powinniśmy pamiętać? Przede wszystkim przedsiębiorstwa muszą mieć na uwadze, że celem nie są osoby prywatne, a całe firmy i cenne dane zawarte w ich komputerach. To one stają się kartą przetargową w przypadku wątpliwości związanych z zapłatą okupu. Warto więc przyjrzeć się infrastrukturze bezpieczeństwa firmy oraz zadbać o aktualizacje maszyn.