Ngày tháng năm! Ngày tháng năm! Một đợt bùng phát khác của một ransomware mới đã tấn công vào cơ sở hạ tầng lớn của Ukraine và Nga, bao gồm một số tổ chức giao thông vận tải cũng như nhiều tổ chức chính phủ và được điều hành với tên gọi là Bad Bad Rabbit .
Theo báo cáo phương tiện truyền thông, nhiều máy tính đã được mã hóa với cuộc tấn công mạng này. Các nguồn tin công khai đã xác nhận rằng các hệ thống máy tính của Kiev Metro cùng với sân bay Odessa cũng như nhiều tổ chức khác từ Nga đã bị ảnh hưởng.
Phần mềm độc hại được sử dụng cho cuộc tấn công mạng này là đĩa cứng Coder.D mã hóa - một biến thể mới của ransomware, được sử dụng phổ biến với tên gọi là Pet Petine. Cuộc tấn công mạng trước đây của Disk Coder đã để lại thiệt hại trên quy mô toàn cầu vào tháng 6/2017.
ESET về Thỏ xấu.
Hệ thống từ xa của ESET đã báo cáo nhiều lần xuất hiện của Disk Coder. Tuy nhiên, bên trong Nga và Ukraine, có những phát hiện về cuộc tấn công mạng này vào máy tính từ Thổ Nhĩ Kỳ, Bulgaria và một số quốc gia khác.
Một phân tích toàn diện về phần mềm độc hại này hiện đang được các nhà nghiên cứu bảo mật của ESET thực hiện. Theo phát hiện ban đầu của họ, Disk Coder. D sử dụng công cụ Mimikatz để trích xuất thông tin đăng nhập từ các hệ thống bị ảnh hưởng. Phát hiện và phân tích của họ đang diễn ra và chúng tôi sẽ thông báo cho bạn ngay khi có thêm thông tin chi tiết.
Hệ thống đo từ xa ESET cũng thông báo rằng Ukraine chỉ chiếm 12, 2% trong tổng số lần họ nhìn thấy sự xâm nhập của Bad Rabbit. Sau đây là số liệu thống kê còn lại:
- Nga: 65%
- Ukraine: 12, 2%
- Bulgaria: 10, 2%
- Thổ Nhĩ Kỳ: 6, 4%
- Nhật Bản: 3, 8%
- Khác: 2, 4%
Sự phân phối các quốc gia nói trên đã bị Bad Rabbit xâm phạm. Điều thú vị là tất cả các quốc gia này đã bị tấn công cùng một lúc. Rất có khả năng nhóm đã đặt chân vào mạng lưới của các tổ chức bị ảnh hưởng.
Làm thế nào.
Phương thức phân phối được sử dụng cho Bad Rabbit là Tải về Drive-By Tải xuống. Nói một cách đơn giản hơn, tải xuống theo ổ đĩa là một cửa sổ bật lên tải xuống ngoài ý muốn được hiển thị trên các trang web hoặc email. Với những trường hợp này, nhà cung cấp của mối quan hệ trực tuyến, tuyên bố rằng người dùng đã đồng ý với việc tải xuống cụ thể đó, mặc dù người dùng thực sự hoàn toàn không biết về việc bắt đầu tải xuống phần mềm độc hại hoặc không mong muốn.
Tương tự, với trường hợp Bad Rabbit, những gì chúng ta đã thấy cho đến bây giờ là một cửa sổ bật lên yêu cầu tải xuống phiên bản cập nhật của Flash Player của Adobe như hiển thị bên dưới.
Ngay khi bất kỳ ai nhấn nút tải xuống, một tệp thực thi sẽ được tải xuống. Tệp thực thi này, ví dụ như install_flash_player.exe là trình nhỏ giọt cho Bad Rabbit. Cuối cùng, máy tính khóa lại và hiển thị ghi chú tiền chuộc như sau.
Hơn nữa, trang thanh toán của Bad Rabbit trông giống như thế này.
Sau đây là các trang web bị xâm nhập.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // an-crimearu
- hxxp: //www.t.ksua
- hxxp: // most-dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calWiki.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Giờ thì sao?
Cuộc tấn công mạng ngày nay đã phát triển thành nhiều khuôn mặt. Internet không còn là một nơi an toàn nữa, đó là lý do tại sao nên sử dụng VPN xác thực; đặc biệt là khi kết nối với Wi-Fi công cộng.
Tạo một đường hầm được mã hóa an toàn giữa bạn và Internet với nhà cung cấp dịch vụ VPN hàng đầu trong ngành, Ivacy VPN và kiểm soát sự hiện diện trực tuyến của bạn và bảo vệ dữ liệu quý giá của bạn.
