Ransomware Bad Rabbit

Ransomware Bad Rabbit
27 Oktober 2017 Cybermilker
In what's news
Ransomware Bad Rabbit

Serangan ransomware terus meningkat akhir-akhir ini. Berita khusus tentang kampanye ransomware lainnya menyebar di seluruh Eropa, dan sekitar 200 organisasi utama disana telah menjadi korban serangan tersebut.

Ransomware Bad Rabbit

Uang tebusan, yang disebut Bad Rabbit, menyebar seperti api dan telah menargetkan jaringan perusahaan di Rusia, Jerman, Ukraina, dan Turki. Organisasi yang telah ditargetkan sejauh ini mencakup sistem pembayaran Metro Kiev, Interfax dan Fontanka (kantor berita Rusia), Bandara Internasional Odessa dan Kementerian Infrastruktur Ukraina.

Ransomware jenis Petya yang telah meluncurkan serangan yang ditargetkan dalam beberapa jam terakhir. Setelah berhasil mengkompromikan sistem dan mengenkripsi data, penyerang ini kira-kira membutuhkan 0.05 bitcoin. $ 285 sebagai tebusan untuk menyerahkan kunci dekripsi.

Culprit: Penginstal Adobe Flash Palsu

Kampanye tersebut diidentifikasi oleh periset keamanan di Laboratorium Kaspersky pada tanggal 24 Oktober . Dalam posting blog yang terperinci, Orkhan Mamedov, Fedor Sinitsyn, dan Anton Ivanov menulis bahwa Bad Rabbit didistribusikan melalui serangan download drive-by dan menggunakan pemasang Adobe Flash Player palsu untuk menjebak para korban dalam menginstal malware .

Bad Rabbit termasuk keluarga ransomware yang relatif baru dan tidak dikenal, dan targetnya tercapai tanpa menggunakan eksploitasi apapun. Korban diminta untuk secara manual menjalankan penetrasi test ransomware, yang didownload dari infrastruktur penyerang di hxxp://1dnscontrol[.]com/flash_install.php.

File yang didownload bernama install_flash_player.exe. Korban secara manual meluncurkan file ini namun beroperasi dengan benar; Hal ini membutuhkan hak administratif tingkat tinggi yang diperoleh melalui perintah standar UAC. Saat diinisiasi, file menyimpan DLL berbahaya di lokasi ini di komputer: C:\Windows\infpub.dat. (disarankan anda mengecek file ini di komputer anda bila ada) Hal ini kemudian diluncurkan melalui perintah rundll32.

Berbagai situs web yang dikompromikan diidentifikasi oleh periset Kaspersky, yang semuanya merupakan situs berita dan media. Serangan vektor asli terdeteksi pada pagi hari tanggal 24 Oktober, dan serangan tersebut berlangsung sampai tengah hari, namun ini merupakan kampanye yang terus berlanjut dan aktif, yang dipantau oleh periset Kaspersky. Menurut temuan mereka, korban dialihkan ke sumber perangkat lunak perusak yang berada di situs web asli dan sah.

Peneliti keamanan ESET menemukan malware Bad Rabbit sebagai varian lain Petya (juga dikenal sebagai Notepetya, GoldenEye , Petrwrap, dan exPetr) ransomware, ‘Win32 / Diskcoder.D’. Diskcryptor, yang merupakan perangkat lunak enkripsi open-source full drive, digunakan oleh Bad Rabbit untuk melakukan enkripsi data pada komputer yang terinfeksi menggunakan kunci RSA 2048.

Menurut peneliti ESET, kampanye baru ini tidak menggunakan eksploitasi EternalBlue namun memindai jaringan internal untuk membuka saham SMB (Server Message Block) dan kemudian menggunakan daftar kredensial umum hardcoded untuk menjatuhkan malware. Ini juga memanfaatkan alat pasca-eksploitasi Mimikatz untuk mendapatkan kredensial dari sistem yang terinfeksi.

Setelah dikompromikan, penyerang memaksa korban untuk masuk ke situs bawang bawang Tor untuk membayar uang tebusan dalam waktu 40 jam, seperti yang digambarkan dalam catatan tebusan di bawah ini:

Bagaimana Menyingkirkan Ransomware Bad Rabbit?

Amit Serper, seorang peneliti keamanan, dan analis malware datang dengan “Vaksinasi untuk Bad Rabbit” dan sebagaimana dikonfirmasi oleh peneliti keamanan lainnya, hal itu benar-benar bekerja. Menurut Serper, korban perlu:

 

Menurut periset Kaspersky, untuk melindungi komputer Anda, Anda perlu menonaktifkan layanan WMI tidak akan membiarkan malware menyebar ke jaringan. Selain itu, pengguna harus tetap berhati-hati saat mengeklik lampiran dan tautan web yang dikirim oleh pengirim yang tidak dikenal melalui email dan menghindari mengunduh perangkat lunak dari platform pihak ketiga .

Comment (1)

  1. rena 3 minggu ago

    Ini di indonesia sudah menyebar?

Leave a reply

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

*