Anonim
הודעת הכופר מההתקפה של BadRabbit.

חוקרי האבטחה התייחסו להתקפות כישורי כופר משמעותיים על פני מחשבים ברוסיה ובאוקראינה, שכוונה עד כה לכלי תקשורת ומערכות תחבורה.

התקיפה החלה היום (שלישי) והדביקה מחשבים בסוכנות הידיעות הרוסית אינטרפקס, יחד עם ארבעה כלי תקשורת נוספים, כך לפי נתוני חברת האבטחה Group-IB.

#BadRabbit #cryptor תקף מספר כלי תקשורת גדולים ברוסיה. @interfax_news pic.twitter.com/5iLNs131Ml

- Group-IB (@Goup Group_GIB) 24 באוקטובר 2017

תוכנת הכופר, הנקראת BadRabbit, מצפינה את קבצי המחשב ואז דורשת מהקורבן לבקר באתר שירות מוסתר של Tor כדי לשלם כופר של 0, 05 ביטקוין, או 282 דולר. זה מאיים להעלות את המחיר אם התשלום לא מתבצע תוך למעלה מ- 40 שעות.

ההתקפה נעה במהירות. יבגני גוקוב, דובר הקבוצה-IB, אמר כי "שלושה כלי תקשורת הותקפו לפני שעתיים ואז היו אלה שניים נוספים."

תוספי קבצים שמצפינים #BadRabbit. #cryptor #ransomware pic.twitter.com/LCHeIueFL7

- Group-IB (@Goup Group_GIB) 24 באוקטובר 2017

אינטרפקס אישרה את הפריצה והצהירה כי שרתי החברה כשלו.

התקיפה פגעה גם במטרו של קייב, על פי חברת האבטחה ESET, שניתחה את הקוד ואמרה כי היא מבוססת על תוכנות זדוניות פטייה, ששימשה גם למתקפה עולמית של ransomware ביוני. במקרה זה, החוקרים הציעו שפטיה היא תוכנות זדוניות המגבוניות המחופשות לתוכנות כופר, ועודדו את הנפגעים שלא לשלם.

תוכנת הכופר החדשה הזו מתפשטת על גבי התקנה מזויפת של Adobe Flash Player שהופצה על פני 20 אתרים שונים שנפרצו, על פי ESET. רבים מהאתרים הללו מגיעים מכלי חדשות רוסיים, אך מעטים משתמשים בתחום האוקראיני .ua.

מבקרים באתרים המפונקים הללו היו מבחינים בקופץ שמבקש מהם להוריד את העדכון המוטעה של Adobe Flash Player. לאחר התקנת תוכנת ה- Ransomware, הוא יחפש ברשת המקומית ויחפש מחשבים חדשים להדביק אותם. הקוד הזדוני עושה זאת על ידי שימוש בפרוטוקול בלוק ההודעות של Microsoft Windows, תכונה לשיתוף קבצים שגם התקפות אחרות של תוכנות רנסומיות ניצלו לאחרונה.

צילום מסך של מתקין Adobe Flash המזויף.

בנוסף, ה- ransomware של BadRabbit ישיק את Mimikatz, כלי פריצה שיכול לקצור סיסמאות ממחשבים נפגעים, על פי ESET.

חברת האבטחה Kaspersky Lab פרסמה ממצאים דומים ואמרה כי "מספר אתרי מדיה רוסיים שנפרצו" הפיצו את המתקין המזויף של אדובי פלאש כדרך להערים קורבנות להוציא לפועל את התוכנית.

"לא נעשה שימוש במעללים", אמר קספרסקי בפוסט בבלוג. המשמעות היא שכלי הוויתור ידביקו רק אם הקורבן מבצע ידנית את מתקין ה- Flash המזויף.

מרבית הפיגועים פוגעים בקורבנות ברוסיה, אך זיהומים מסוימים נשפכו גם לאוקראינה, טורקיה וגרמניה, אמר קספרסקי. בהתבסס על נתוני חברת האבטחה, "בסך הכל יש כמעט 200 יעדים", וההתקפה נמשכת.

ביום שלישי פרסמה CERT-UA, צוות תגובת החירום למחשבים באוקראינה הודעה ובה התראה על גל הפיגועים. מוסדות אחרים, כמו שדה תעופה באודסה, מדווחים גם הם על פריצה, אך בשלב זה לא ברור אם ההתקפות קשורות זו לזו.

חברת האבטחה Avast גילתה את מתקפת BadRabbit שמכוונת למדינות אלה.

מי שעומד מאחורי התפרצות יום שלישי נותר לא ידוע. עם זאת, נראה כי ההאקר הוא מעריץ של משחקי הכס. חוקרי אבטחה מוצאים אזכורים לסדרת הפנטזיה בקוד ה- ransomware, כמו שמות של שלושת הדרקונים.

יתכן גם שההתקפה של יום שלישי הושקה באמצעים אחרים. ב- ESET נמסר כי עד כה לא נמצאו עדויות לכך שהחברות שנפגעו מהתפרצות רנסומוואר נפלו בעדכון אדובי פלאש מזויף.

קשורים

  • יעדי תוכנה זדונית חדשה כמו מיראי - התקני IoT

פירוש הדבר יכול להיות שהאשם המסתורי מאחורי BadRabbit כבר היה בתוך רשתות החברות, ותקף את כולם בבת אחת. עדכון Adobe Flash המזויף היה פשוט דמה, אמר ESET.

משרדי האבטחה אומרים כי הם מתכננים לפרסם פרטים נוספים על הפיגוע במהלך היום.

מיקרוסופט פרסמה ייעוץ כיצד מנהלי מערכת יכולים להגן על המחשבים שלהם מפני התקפה. העדכון האחרון ל- Windows Defender Antivirus יאתר ויסיר גם את האיום.