ESET Deteksi Serangan Ransomware Bad Rabbit

Ransomware baru bernama Bad Rabbit mendatangkan malapetaka di banyak negara Eropa Timur, yang mempengaruhi baik badan pemerintah maupun perusahaan swasta.Ransomware telah melanda negara-negara seperti Rusia, Ukraina, Bulgaria, dan Turki.

Korban yang dikonfirmasi termasuk bandara Odessa di Ukraina, sistem kereta bawah tanah Kiev di Ukraina, Kementerian Infrastruktur Ukraina, dan tiga kantor berita Rusia, termasuk Interfax dan Fontanka. Tim CERT Ukraina telah memposting peringatan dan memperingatkan bisnis Ukraina tentang wabah baru ini.

Kecepatan penyebaran Bad Rabbit mirip dengan wabah WannaCry dan NotPetya yang telah terjadi pada bulan Mei dan Juni tahun ini. Karena itu Bad Rabbit ini perlu menjadi perhatian semua negara, agar jangan sampai kecolongan seperti kasus WannaCry.

Pembaruan Flash Palsu

Periset ESET menemukan fakta bahwa Bad Rabbit awalnya menyebar melalui paket pembaruan Flash palsu, namun ransomware juga hadir dengan alat yang membantu bergerak secara lateral di dalam jaringan, yang mungkin menjelaskan mengapa penyebarannya menyebar dengan cepat ke beberapa organisasi dalam waktu yang sangat singkat. .

Dalam laporan kemudian yang diterbitkan data telemetri perusahaan mengungkapkan bahwa ransomware telah menyebar melalui serangan Drive by Download, dan korban diarahkan ke situs web yang menjajakan paket pembaruan Flash palsu dari situs berita yang sah.

Cara Kerja

Berdasarkan analisis oleh ESET, Bad Rabbit yang dideteksi sebagai Win32/Diskcoder.D menggunakan Mimikatz untuk mengambil kredensial dari memori komputer lokal, dan bersamaan dengan daftar kredensial hard code, ia mencoba mengakses server dan workstation di jaringan yang sama melalui SMB. dan WebDAV [1, 2, 3].

Ransomware Bad Rabbit adalah coder disk yang disebut, mirip dengan Petya dan NotPetya. Bad Rabbit pertama mengenkripsi file di komputer pengguna dan kemudian mengganti MBR (Master Boot Record).

Begitu Bad Rabbit telah melakukan tugasnya, ia akan melakukan reboot PC pengguna, yang kemudian menampilkan ransom note. Catatan tebusannya hampir sama dengan yang digunakan Notepetya pada bulan Juni. Meski begitu, hanya ada sedikit kemiripan dengan NotPetya. Ada sekitar 13% kode yang digunakan kembali antara Bad Rabbit dan NotPetya.

Berdasarkan catatan tebusan, ransomware tersebut meminta korban untuk mengakses situs di jaringan Tor dan melakukan pembayaran 0.05 Bitcoin (sekitar $280). Korban memiliki waktu lebih dari 40 jam untuk membayar, jika tidak maka biaya tebusan meningkat.

Ransomware Bad Rabbit tampaknya meniru DiskCryptor, sebuah open source utilitas enkripsi disk diketahui serupa dengan ransomware HDDCryptor yang pernah menyerang layanan transportasi Muni San Francisco awal tahun ini.

Source code Bad Rabbit juga berisi berbagai rujukan Game of Thrones untuk karakter seperti Grayworm. Selain itu, ransomware juga menyiapkan tiga tugas terjadwal yang diberi nama Drogon, Rhaegal, dan Viserion, nama ketiga naga dari Game of Thrones. Ini bukan ransomware pertama yang hadir dengan referensi Game of Thrones. Salah satu naskah yang digunakan dalam kampanye distribusi Locky juga berisi referensi serupa.

Menyebar Melalui SMB

Win32/Diskcoder.D memiliki kemampuan menyebar melalui SMB. Berlawanan dengan beberapa pendapat. Ransomware ini tidak memanfaatkan kerentanan EthernalBlue seperti Win32/Diskcoder.C (Not-Petya). Bad rabbit memindai jaringan internal mencari SMB share yang terbuka, berikut datanya:

admin
atsvc
browser
eventlog
lsarpc
netlogon
ntsvcs
spoolss
samr
srvsvc
scerpc
svcctl
wkssvc

Win32 / Diskcoder.D adalah versi modifikasi dari Win32/Diskcoder.C. Bug dalam enkripsi file sudah diperbaiki. Enkripsi sekarang menggunakan DiskCryptor, perangkat lunak open source yang sah yang digunakan untuk melakukan enkripsi full drive. Kunci yang dihasilkan menggunakan CryptGenRandom dan kemudian dilindungi oleh kunci publik RSA 2048 hardcoded. File terenkripsi memiliki ekstensi. Terenkripsi. Seperti sebelumnya, AES-128-CBC saya pakai.

Distribusi

Menariknya, telemetri ESET menunjukkan bahwa Ukraina hanya sebesar 12,2% dari jumlah total dari yang terlihat pada komponen dropper. Berikut adalah statistiknya:

Rusia: 65%
Ukraina: 12,2%
Bulgaria: 10.2%
Turki: 6,4%
Jepang: 3,8%
Lainnya: 2,4%

Ini cukup sesuai dengan distribusi situs web yang dikompromikan yang menyertakan JavaScript jahat. Jadi mengapa Ukraina merasa lebih terpukul daripada yang lain?

Menarik untuk dicatat bahwa semua perusahaan besar yang terinfeksi mendapat serangan pada saat bersamaan. Ada kemungkinan kelompok tersebut sudah memiliki kaki di dalam jaringan mereka dan meluncurkan serangan Waterhole pada saat bersamaan sebagai umpan. Tidak cukup hanya mengatakan bahwa mereka menjadi korban hanya karena “update Flash”. ESET masih menyelidiki dan akan melaporkan temuan pada kesempatan berikutnya.

Info dan pembelian www.tokoeset.com email: eset.sales@eset.co.id

Sumber berita

www.welivesecurity.com

www.bleepingcomputer.com