NSA utnyttja distribuerar Bad Rabbit Ransomware

Computer Security News

Säkerhetsexperter rapporterade att den Bad Rabbit ransomware i motsats till deras inledande rapporter, utnyttjar en utnyttja som är kopplade till den amerikanska National Security Agency (NSA).

Identiskt till de skadliga NotPetya torkaren använder den Bad Rabbit ransomware också protokollet Server Message Block (SMB) för att sprida inom komprometterad nätverket. Men utnyttja forskarna brukade tänka att dåliga kanin till skillnad från NotPetya, inte använde varken EternalBlue, EternalRomance.

Ännu, nu experterna bekräftar att medan den Bad Rabbit ransomware inte använder EternalBlue, det faktiskt utnyttjar EternalRomance att sprida i nätverket.

Microsoft upp EternalRomance sårbarhet i mars 2017, i år släppa en säkerhetsbulletin som också lappat EternalChampion, EternalBlue och EternalSynergy bedrifter.

Shadow mäklare hacker gruppen allmänheten vissa detaljer av dessa brister i April, i år. Gruppen hävdar att de har fått dessa och många andra bedrifter från NSA och att de användes av en av byråns team kallas gruppen ekvation.

Strax efter bristerna gick offentligt, meddelade Microsoft att de redan hade fastställts som föreslog att bolaget underrättades om säkerhetsproblem NSA själv.

Enligt inledande analys, fanns det talrika anslutningar mellan dålig kanin och NotPetya, inklusive deras mål – Ukraina och Ryssland, binärer signerade med utgångna certifikat, användning av Mimikatz för autentiseringsuppgifter högintressant, omstarter och persistens via schemalagda aktiviteter, borttagning av händelseloggar och USN ändra journaler, liksom samma typ av filkryptering och ransomware funktionalitet.

Den viktigaste skillnaden mellan dålig kanin och NotPetya är dock det faktum att dåliga kanin visar sig vara en riktig ransomware och användare filer kan återställas efter betala lösen. Medan NotPetya har klassificerats som ett wiperskär på grund av att funktionen lösen inte har implementerats korrekt som omöjliggör filer återvinning.

En annan stor skillnad mellan de två hot är det faktum att dåliga kanin mestadels drabbade företag, särskilt i Ryssland. Dock var många av offren i Ukraina högprofilerade organisationer.

Den NotPetya borsten har kopplats till det ryska hotet som kallas BlackEnergy, TeleBots och Sandworm Team, vilket tyder på att samma cyber gänget kan vara bakom den dåliga kanin attacker samt.

Enligt analysen av den dåliga kanin infrastrukturen, några av de infekterade domäner som användes i attacken hade satts upp sedan på minst juli, medan några av servrarna som injektion sågs mer än ett år sedan.


Leave a Reply

Your email address will not be published. Required fields are marked *