Vysetrovania Kaspersky Lab potvrdili prepojenie medzi ransomverovymi utokmi Bad Rabbit a ExPetr

Dovoľte mi informovať Vás, že výsledky vyšetrovania expertov spoločnosti Kaspersky Lab potvrdili prepojenie súčasnými medzi útokmi ransomvéru Bad Rabbit a útokmi ransomvéru ExPetr, ktorý vyčíňal v júni t.r.

Kaspersky Lab potvrdili súvislosť medzi ransomvérmi Bad Rabbit a ExPetr, vyšetrovania pokračujú

Výskumníci spoločnosti Kaspersky Lab odhalili, že ransomvérové útoky Bad Rabbit majú jasné prepojenie na ransomvér ExPetr, ktorý zaútočil v júni t.r.
Výsledky analýzy ukázali, že tzv. hashing algoritmus použitý kyberzločincami pri súčasnom útoku Bad Rabbit je podobný ako ten, ktorý bol použitý pri útokoch ExPetr. Expertom sa tiež podarilo zistiť, že pri obidvoch útokoch boli použité rovnaké domény; a ďalšie stopy k tvorcom ExPetr vedú aj cez podobnosti v príslušných zdrojových kódoch.
Tak, ako ExPetr, aj Bad Rabbit sa pokúša získať poverenia zo systémovej pamäte a rozširovať v rámci korporátnej siete prostredníctvom WMIC. Analýzy však v prípade Bad Rabbit nepotvrdili výskyt exploitov EternalBlue a EternalRomance, ktoré boli používané v rámci útokov ransomvéru ExPetr.
Vyšetrovanie tiež ukázalo, že tento útok bol pripravovaný už od júla 2017, kedy sa začala nasadzovať infekcia na hacknuté stránky, pričom vo väčšine prípadov ide o stránky mediálnych a spravodajských servisov.
Podľa expertov spoločnosti Kaspersky Lab zasiahol Bad Rabbit takmer 200 cieľov prevažne v Rusku, na Ukrajine, Turecku a Nemecku. K útokom došlo 24. októbra, odvtedy neboli zaznamenané žiadne nové pokusy. Výskumníci si všimli, že v momente, kedy došlo k masívnejšiemu rozšíreniu útokov a začatiu investigatívnych vyšetrovaní bezpečnostnými spoločnosťami, útočníci okamžite odstránili škodlivý kód zo všetkých napadnutých webových stránok.
Produkty spoločnosti Kaspersky Lab úspešne detekovali ransomvér a proaktívne zareagovali na útoky hneď, ako boli spustené. Detekciu v priamom prenose môžete sledovať aj v tomto videu: