Bad Rabbit ransomsoftware

bad raBBIT Ransomsoftware

De ransomware-aanval Bad Rabbit die op 24 oktober plaatsvond lijkt sterk op de Petya-aanvallen van eind juni. Dat concluderen diverse securitybedrijven zoals Eset, Kaspersky en Palo Alto Networks. De aanval maakte voornamelijk slachtoffers in Oost-Europa en Turkije. De Benelux is buiten schot gebleven.

Bad Rabbit doet zich voor als Adobe Flash-update. Tijdens het installeren van deze nep-update, die beschikbaar was op gehackte nieuws- en mediawebsites, wordt het systeem geïnfecteerd. De aanval lijkt enkel gericht op Windows-computers. Uiteindelijk wordt net als Petya, de gehele schijf versleuteld. De ransomware richt zich voornamelijk op bedrijven.

Kaspersky-onderzoekers constateren dat de aanval veel overeenkomsten heeft met de Petya-aanvallen van eind juni. Zo komt het algoritmes overeen, vinden de aanvallen in dezelfde domeinen plaats en is de broncode afhankelijk van de Petya-ontwikkelaars.

De servers van de verspreiding Bad Rabbit alweer offline

De servers die zijn gebruikt bij de verspreiding van de Bad Rabbit-malware, zijn inmiddels alweer offline gehaald volgens verschillende beveiligingsbedrijven. De ransomware kwam dinsdagavond tevoorschijn en trof vooral organisaties in Rusland en Oekraïne.

Eerder bleek al uit verschillende analyses dat de ransomware werd verspreid door middel van drive by-downloads, waarbij bezoekers van geïnfecteerde sites een nep-update van Flash kregen voorgeschoteld. Dat gebeurde onder andere op nieuwswebsites. De servers die werden gebruikt om de kwaadaardige update aan te bieden, waren na enkele uren alweer offline, vertellen beveiligingsbedrijven aan Motherboard. Het is onduidelijk wie verantwoordelijk is voor het neerhalen van de servers. Symantec heeft statistieken gepubliceerd waarin te zien is dat er een piek in het aantal infecties zat in de eerste twee uur van de aanvallen.

Het Amerikaanse beveiligingsbedrijf meldt verder dat 86 procent van de infectiepogingen plaatsvond in Rusland, wat overeenkomt met eerdere berichten. In meer dan 80 procent van de infectiepogingen ging het om systemen van bedrijven en niet van consumenten. Woensdag schreef beveiligingsbedrijf Malwarebytes dat de groep achter Bad Rabbit misschien ook verantwoordelijk was voor NotPetya. Inmiddels hebben meer bedrijven in de sector die conclusie getrokken. Onderzoeker Bart Parys schrijft daarnaast dat de aanval misschien een rookgordijn was om een andere aanval te verhullen.

ESET publiceerde na de NotPetya-aanvallen een analyse waarin het de malware toeschreef aan een groep die het TeleBots noemt. Die zou al langer doelwitten in Oekraïne op het oog hebben. Een ander bedrijf, RiskIQ, heeft inmiddels ook een analyse van Bad Rabbit gepubliceerd, waarin het ingaat op de bij de recente aanval gebruikte infrastructuur. Het meldt dat deze deels al aan het begin van vorig jaar online was. Kaspersky-onderzoeker Costin Raiu kwam tot dezelfde conclusie. Ook noemt RiskIQ de mogelijkheid dat de infrastructuur oorspronkelijk voor een andere campagne dan Bad Rabbit was opgebouwd.

 

Bron: Tweakers.net

 

Zie ook: Wannacry Ransomsoftware

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *