Tổng quan mã độc Bad Rabbit: Ransomware tấn công nhanh và lây nhiễm mạnh ở Châu Âu
7 Năm trước 1412

Cập nhập 02/11/2017:

                Bảng so sánh giữa Bad Rabbit và NotPetya:

                


Cập nhập 28/10/2017:

          Các chuyên gia bảo mật phân tích và đưa ra nhận định: Bad Rabbit và NotPetya do cùng 01 nhóm tin tặc gây ra, do cả Bad Rabbit và NotPetya đều sử dụng mã DiskCryptor để mã hóa ổ cứng của nạn nhân,  BadRabbit đã được biên dịch từ các nguồn NotPetya, cả Bad Rabbit và NotPetya có cùng chức năng tính toán mã hash, logic phân phối mạng, quá trình gỡ bỏ bản ghi...

Trước đó, Bad Rabbit được nhận định không sử dụng bất kỳ công cụ khai thác lỗ hổng nào nhưng theo một báo cáo mới nhất  của Cisco cho thấy Bad Rabbit đã sử dụng công cụ khai thác thực thi mã từ xa (RCE) EternalRomance SMB CVE-2017-0145

EternalRomance là một khai thác mã từ xa CVE-2017-0145 trong Microsoft Windows Server Message Block (SMB), là 01 giao thức để truyền dữ liệu giữa các máy tính Windows được kết nối với nhau trong mạng LAN, cho phép thực hiện mã từ xa trên các máy khách và máy chủ Windows. EternalRomance là một trong nhiều công cụ tấn công ( như EternalChampion, EternalBlue, EternalSynergy và các bộ khai thác khác của NSA) được cho là của nhóm Equation Group, bị rò rỉ bởi nhóm hacker khét tiếng Shadow Brokers vào tháng 4 năm nay

Tuy nhiên, trong tháng 03/2017 vừa qua, EternalBomance cũng được Microsoft vá lỗi (MS17-010) mà chúng tôi đã đưa tin (Xem thêm: http://avastvn.com/vi/thang-03-2017-microsoft-cap-nhap-ban-va-loi-lien-quan-den-17-van-de-ve-bao-mat )

 

Cập nhập 25/10/2017:

Theo thống kê, các quốc gia bị nhiễm nặng nhất bởi Ransomware Bad Rabbit.

1.               Nga: 71%

2.               Ucraina: 14%

3.               Bulgaria: 8%

4.               Thổ Nhĩ Kỳ: 2%

5.               Nhật Bản: 3,8%

6.               Khác: 2,4%

Cùng ngày, Bad Rabbit đã được phát hiện ở Mỹ.



 

Bản tin 24/10/2017:

Một ransomware mới có tên là Bad Rabbit đang lây lan ở nhiều nước Đông Âu, ảnh hưởng đến cả cơ quan chính phủ và các doanh nghiệp tư nhân. Tốc độ lây lan của Bad Rabbit tương tự như các vụ dịch WannaCry và NotPetya đã xảy ra trong tháng 5 và tháng 6 năm nay. Bad Rabbit đã lây nhiễm hơn 200 tổ chức lớn chủ yếu ở Nga và Uktraina, điển hình là những nạn nhân được xác nhận bao gồm sân bay Odessa ở Ukraine, hệ thống tàu điện ngầm Kiev ở Ukraine, các cơ sở hạ tầng ở Ucraina,  Có 03 hãng tin ở Nga, bao gồm Interfax và Fontanka.

Bad Rabbit ban đầu đã lây lan qua các gói cập nhật giả mạo Flash, và lây lan nhanh trong mạng LAN. Fabian Wosar (Chuyên gia phân tích và giải mã ransomware của Emsisoft) phân tích Bad Rabbit sử dụng Mimikatz để trích xuất thông tin từ bộ nhớ của máy tính cục bộ và cùng với danh sách các chứng chỉ cứng, nó cố gắng truy cập các máy chủ và máy trạm trên cùng một mạng thông qua SMB. Điều này có thể giải thích tại sao Bad Rabbit lan truyền nhanh như vậy trong nhiều tổ chức với một thời gian rất ngắn.

Tương tự như Petya và NotPetya. Bad Rabbit đầu tiên sử dụng DiskCrytor - một phần mềm mã hóa ổ cứng nguồn mở để mã hóa các tập tin trên máy tính của người dùng với khóa RSA 2048 và sau đó thay thế MBR (Master Boot Record), khi Bad Rabbit đã thực hiện xong công việc của mình, nó sẽ khởi động lại máy tính của người dùng. Ở màn hình khởi động, bạn sẽ không thể khởi động và nhận được thông tin ransomware yêu cầu nạn nhân truy cập một trang web trên mạng Tor và thanh toán 0,05 Bitcoin (khoảng $ 280) tiền chuộc trong vòng 40 giờ cho đến khi lệ phí chuộc tăng lên.

Đặc biệt giao diện của Bad Rabbit rất giống với Red Petya..

Tỷ lệ phát hiện BAB RABBIT trên VirusTotal:

fbbdc39af1139aebba4da004475e8839 – bản gốc của Bab Rabbit (đã sơ lược mẫu)

1.     1d724f95c61f1055f0d02c2154bbccd3 – infpub.dat – DLL chính

2.     b4e6d97dafd9224ed9a547d52c26ce02 – cscc.dat – trình điều khiển hợp pháp được sử dụng cho mã hóa đĩa (diskcryptor.net)

3.     b14d8faf7f0cbcfad051cefe5f39645f – dispci.exe – cài đặt trình lưu trữ khởi động, giao tiếp với trình điều khiển

Máy chủ C & C:

Địa điểm thanh toán: http: // caforssztxqzf2nm [.] onion

URL phân phối: hxxp: // 1dnscontrol [.] Com / flash_install.php