Mengeksploitasi TUH mengedarkan Bad Rabbit Ransomware

Computer Security News

Pakar Keselamatan melaporkan bahawa bertentangan dengan laporan-laporan awal mereka, Bad Rabbit ransomware memanfaatkan untuk pengeksploitasian yang dikaitkan kepada pihak US negara Keselamatan agensi (NSA).

Pada pengelap NotPetya berniat jahat, Bad Rabbit ransomware juga menggunakan protokol pelayan mesej blok (SMB) untuk menyebarkan dalam rangkaian terjejas. Walau bagaimanapun, penyelidik yang digunakan untuk berfikir bahawa tidak seperti NotPetya, buruk arnab tidak menggunakan EternalBlue ini, mahupun EternalRomance dalam mengeksploitasi. Namun, kini pakar mengesahkan bahawa sementara Bad Rabbit ransomware tidak menggunakan EternalBlue, ia benar-benar memanfaatkan EternalRomance untuk menyebarkan dalam rangkaian.

Microsoft ditangani kelemahan EternalRomance pada Mac tahun 2017, tahun ini, melepaskan Buletin yang juga memperbaiki eksploitasi di EternalChampion, EternalBlue dan EternalSynergy.

Kumpulan penggodam broker bayang-bayang diumumkan beberapa butiran kelemahan tersebut pada bulan April, tahun ini. Kumpulan yang mendakwa mereka telah memperolehi ini dan banyak eksploitasi lain dari NSA itu dan bahawa mereka telah digunakan oleh satu pasukan agensi yang dikenali sebagai Kumpulan persamaan.

Sebaik sahaja kelemahan yang pergi awam, Microsoft mengumumkan bahawa mereka telah pun ditetapkan yang mencadangkan bahawa Perbadanan telah dimaklumkan tentang kelemahan oleh NSA itu sendiri.

Menurut analisis awal, Terdapat banyak sambungan antara arnab buruk dan NotPetya, termasuk sasaran mereka – Perancis dan Rusia, binari ditandatangani dengan sijil yang telah luput, menggunakan Mimikatz untuk merebut kelayakan, reboots dan tabah melalui tugas berjadual, penyingkiran log acara dan USN menukar jurnal, serta jenis penyulitan fail dan fungsi ransomware yang sama.

Walau bagaimanapun, perbezaan paling ketara antara arnab buruk dan NotPetya adalah hakikat bahawa arnab buruk yang ternyata menjadi ransomware yang sebenar dan fail pengguna dapat dipulihkan selepas membayar tebusan itu. Manakala NotPetya telah diklasifikasikan sebagai pengelap yang disebabkan oleh hakikat bahawa fungsi pembayaran fidyah tidak dilaksanakan dengan betul yang membuat pemulihan fail yang mustahil.

Satu lagi perbezaan yang besar antara dua ancaman adalah hakikat bahawa arnab buruk kebanyakannya terpengaruh enterprises, terutamanya di Amerika Syarikat. Walaupun, ramai mangsa di Ukraine adalah organisasi yang berprofil tinggi.

Pengelap NotPetya telah dikaitkan dengan ancaman Rusia yang dikenali sebagai BlackEnergy, TeleBots dan pasukan merbahaya, mencadangkan bahawa geng cyber sama mungkin di sebalik arnab buruk serangan serta.

Menurut analisis infrastruktur buruk arnab, beberapa daripada domain terjejas digunakan dalam serangan itu telah didirikan sejak di-kurangnya Julai, manakala beberapa pelayan suntikan telah dilihat lebih setahun yang lalu.


Leave a Reply

Your email address will not be published. Required fields are marked *