NSA khai thác phân phối Bad Rabbit Ransomware

Computer Security News

Chuyên gia bảo mật báo cáo trái với báo cáo ban đầu của họ, Bad Rabbit ransomware thúc đẩy một khai thác được liên kết đến Mỹ quốc gia an toàn cơ quan (NSA).

Hệt để gạt nước NotPetya độc hại, Bad Rabbit ransomware cũng sử dụng giao thức máy chủ tin nhắn chặn (SMB) để lây lan trong mạng bị xâm phạm. Tuy nhiên, các nhà nghiên cứu đã từng nghĩ rằng không giống như NotPetya, thỏ xấu không sử dụng EternalBlue, cũng như EternalRomance khai thác. Tuy nhiên, bây giờ các chuyên gia xác nhận rằng trong khi Bad Rabbit ransomware không sử dụng EternalBlue, nó thực sự thúc đẩy EternalRomance để lây lan trong mạng.

Microsoft giải quyết các tổn thương EternalRomance trong tháng ba năm 2017, năm nay, phát hành một bản tin an ninh mà cũng vá khai thác EternalChampion, EternalBlue và EternalSynergy.

Nhóm hacker bóng môi giới được công bố một số chi tiết về những sai sót trong tháng tư, năm nay. Nhóm tuyên bố rằng họ đã thu được những điều này và nhiều khác khai thác từ NSA và rằng họ đã được sử dụng bởi một cơ quan của đội được biết đến như là nhóm phương trình.

Ngay sau khi những sai sót đã đi công cộng, Microsoft thông báo rằng họ đã có đã được cố định, mà đề nghị Tổng công ty đã được thông báo về các lỗ hổng của NSA chính nó.

Theo phân tích ban đầu, đã có rất nhiều các kết nối giữa Bad Rabbit và NotPetya, bao gồm các mục tiêu của họ – Ukraina và Nga, tập tin nhị phân đăng nhập với chứng chỉ đã hết hạn, việc sử dụng Mimikatz cho ủy nhiệm-grabbing, khởi động lại và kiên trì qua tác vụ theo lịch trình, loại bỏ bản ghi sự kiện và USN thay đổi các tạp chí, cũng như cùng loại của các tập tin mã hóa và ransomware chức năng.

Tuy nhiên, sự khác biệt quan trọng nhất giữa Bad Rabbit và NotPetya là một thực tế là thỏ xấu hóa ra là một ransomware thực và tập tin người sử dụng có thể được phục hồi sau khi thanh toán tiền chuộc. Trong khi NotPetya đã được phân loại như là một gạt nước do thực tế là các chức năng thanh toán tiền chuộc là không thực hiện đúng cách mà làm cho việc thu hồi các tập tin không thể

Một sự khác biệt lớn giữa hai mối đe dọa là một thực tế rằng xấu thỏ chủ yếu ảnh hưởng các doanh nghiệp, đặc biệt là tại Liên bang Nga. Tuy nhiên, nhiều người trong số các nạn nhân ở Ukraina đã là tổ chức cao.

Khăn lau NotPetya đã được liên kết với các mối đe dọa Nga được biết đến như BlackEnergy, TeleBots và Sandworm đội ngũ, gợi ý cùng cyber gang có thể đằng sau con thỏ xấu cũng như các cuộc tấn công.

Theo phân tích của cơ sở hạ tầng xấu thỏ, một số trong các lĩnh vực bị xâm phạm, được sử dụng trong cuộc tấn công đã được thiết lập từ lúc ít nhất bảy, trong khi một số máy chủ tiêm bị phát hiện hơn một năm trước đây.


Leave a Reply

Your email address will not be published. Required fields are marked *