Anonim
דרישת הכופר מבית BadRabbit.

התקפת הכופר של יום שלישי עשויה להיקרא בשם BadRabbit, אך היא למעשה חולקת קוד מחשב עם התפרצות NotPetya מיוני.

חוקרי אבטחה הבחינו בקווי הדמיון המרמזים כי לשני ההתקפות עשוי להיות אותו יוצר.

"נראה כי המחברים ניסו להשתפר עם טעויות קודמות (עם NotPetya) ולסיים עסק לא גמור", כתב חברת האבטחה מלווארבייטס בפוסט בבלוג.

ביום שלישי, BadRabbit פגעה בעיקר במחשבים ברוסיה ופגעה במספר כלי תקשורת כולל אינטרפקס, שראתה את השרתים שלהם נכשלים. על פי הבנק המרכזי ברוסיה, התקיפה פגעה בכמה מוסדות פיננסיים במדינה.

תוכנת הכופר התפשטה באמצעות עדכון מזויף של Adobe Flash Player שנמצא בלמעלה מ- 20 אתרים פרוצים. לאחר התקנתו, הוא הצפין את קבצי המחשב ודרש כופר בסך 280 דולר בביטקוין כדי לשחרר את המערכת.

למרבה המזל התקפות חדשות נפסקו. "ברגע שהזיהום התפשט וחברות אבטחה החלו לחקור, התוקפים הסירו מיד את הקוד הזדוני שהוסיפו לאתרי האינטרנט שנפרצו", על פי חברת האבטחה Kaspersky Lab.

החברה גם הבחינה בדמיון הקוד עם BadRabbit ו- NotPetya, ואמרה כי שתי ההתקפות חולקות פיסת חפיפה חשובה נוספת: שתיהן נמסרו על ידי כמה מאותם דומיינים פרוצים של אתרים.

נראה שהתוקפים שמאחורי #Badrabbit היו עסוקים בהקמת רשת הזיהומים שלהם באתרים פרוצים מאז לפחות יולי 2017. pic.twitter.com/fV5U1FeVtR

- קוסטין ראאי (@craiu) 24 באוקטובר 2017

ביניהם נמנים Bahmut.com.ua, אתר תקשורת אוקראיני שנחטף למסור את NotPetya בחודש יוני, ונמצא כי הוא מפיץ את BadRabbit ביום שלישי, כך על פי ציוצים של חוקר מעבדות קספרסקי קוסטין ראיו.

חברת האבטחה אינטרזר עשתה גם ניתוח לפיגוע ביום שלישי. הוא מצא שחלק מקוד המחשב במחשב BadRabbit נראה רק בדגימות זדוניות של NotPetya.

זה נדיר למצוא, לדברי ג'יי רוזנברג, חוקר אבטחה באינטר. קוד המקור ל- NotPetya אינו קוד פתוח, ולכן היה לוקח הרבה זמן ומאמץ למישהו לשכפל אותו, אמר.

"מתכנתים משתמשים שוב ושוב בקוד מכיוון שזה זמן וחסכוני", הוסיף רוזנברג.

עם זאת, לשני הפיגועים יש גם הבדלים חשובים.

ביוני, כאשר התרחשה לראשונה התפרצות NotPetya, גילו החוקרים כי הוא הדביק מחשבים ודרש כופר בסך 300 דולר בביטקוין. אך במציאות, תהליך ההצפנה של NotPetya השחית למעשה את הקבצים במערכת, ומנע שחזור כלשהו.

לעומת זאת, BadRabbit מצפין בהצלחה את קבצי המחשב. זה אומר שקורבנות שמוכנים לשלם את הכופר צריכים להיות מסוגלים להחזיר את הנתונים שלהם - בהנחה שההאקר ישלח את מפתח הפענוח.

הבדל מוזר נוסף בין שתי הפיגועים היה יעדם לכאורה. NotPetya פגעה בעיקר באוקראינה, אך בסופו של דבר התפשטה ל -64 מדינות אחרות כולל ארה"ב

עם זאת, BadRabbit היה קטן בהרבה בהיקפו ופגע ברוסיה בעיקר.

חוקרי אבטחה עדיין מנסים לנתח את הפיגוע ביום שלישי לקבלת רמזים נוספים. אבל קביעת האשם האמיתי שמאחורי מתקפת BadRabbit כנראה לא תהיה קלה.