Шифрувальник файлів bad rabbit та фейкове оновлення flash player

Шифрувальник файлів bad rabbit та фейкове оновлення flash player

2017-10-25 15:41:39

Шифрувальник файлів bad rabbit та фейкове оновлення flash player

Поряд з розсилкою 24.10.2017 року шифрувальника файлів locky, який розповсюджувався через фішингові повідомлення та використовув техніку dde спостерігалася більш масова розсилка шифрувальника файлів bad rabbit через скомпрометовані веб-сайти завдяки drive-by download атаці. Дана атака дозволяла зловмисникам розповсюджувати шкідливе програмне забезпечення через веб-сайти, навіть не зламуючи їх.

        Коротко про вчорашні події:
— початкове зараження відбулося через скомпрометовані веб-сайти та фейкове оновлення flash player, яке для активації та подальшої експлуатації потребувало взаємодію з користувачем (користувач мав підтвердити згоду щодо встановлення оновлення);
— розповсюдження у локальній мережі відбувалося через сканування  внутрішньої мережі на відкритіcть smb-файлів відкритого доступу, а також намаганням використати протокол http webdav, який базується на http і дозволяє використовувати web як ресурс для читання і запису;
— використовувався mimikatz для вилучення облікових даних користувача з пам’яті інфікованого ПК;
— використовувалося легітимне програмне забезпечення diskcryptor для шифрування файлів;
— типи розширень файлів, які були зашифровані на ПК користувача:

.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb
.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c
.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd
.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.


Більш детальні відомості щодо атаки були опубліковані антивірусними лабораторіями та іншими відомими вендорами в галузі кібербезпеки:

https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back-improved-ransomware/
https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
https://securelist.com/bad-rabbit-ransomware/82851/
https://www.theregister.co.uk/2017/10/24/badrabbit_ransomware/
https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb

 

Індикатори компрометації:

  • hxxp://185.149.120[.]3/scholargoogle/
  • hxxp://1dnscontrol[.]com/flash_install.php
  • hxxp://caforssztxqzf2nm[.]onion


Скомпрометовані сайти:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru





Що ще читають на цю тему



Коментарів немає
Додати коментар


Коментар