Gegužės diena! Gegužės diena! Kitas naujos išpirkos programinės įrangos protrūkis paveikė didžiąją Ukrainos ir Rusijos infrastruktūrą, įskaitant kelias transporto organizacijas, taip pat daugelį vyriausybinių organizacijų ir veikia „Bad Rabbit“ vardu .
Kaip rašoma žiniasklaidoje, daugelis kompiuterių buvo užšifruoti šia kibernetine ataka. Viešieji šaltiniai patvirtino, kad nukentėjo Kijevo metro kompiuterinės sistemos, taip pat Odesos oro uostas, taip pat kitos gausios organizacijos iš Rusijos.
Kenkėjiška programinė įranga, naudojama šiai kibernetinei atakai, buvo „Disk Coder.D“ - naujas išpirkos programinės įrangos variantas, kuris populiariai vadinosi „Petya“. Ankstesnė „Disk Coder“ kibernetinė ataka padarė žalos pasauliniu mastu 2017 m. Birželio mėn.
ESET apie blogą triušį.
ESET telemetrijos sistema pranešė apie daugybę „Disk Coder“ atvejų. D, tačiau Rusijoje ir Ukrainoje aptiktos šios kibernetinės atakos kompiuteriams iš Turkijos, Bulgarijos ir dar kelių kitų šalių.
ESET saugos tyrinėtojai šiuo metu atlieka išsamią šios kenkėjiškos programos analizę. Kaip jų preliminarios išvados, Disk Coder. D naudoja „Mimikatz“ įrankį kredencialams iš paveiktų sistemų išgauti. Jų išvados ir analizė vykdoma toliau ir mes jus informuosime, kai tik paaiškės daugiau informacijos.
ESET telemetrijos sistema taip pat informuoja, kad Ukrainoje yra tik 12, 2% visų atvejų, kai jie matė blogo triušio infiltraciją. Toliau pateikiama likusi statistika:
- Rusija: 65 proc.
- Ukraina: 12, 2 proc.
- Bulgarija: 10, 2 proc.
- Turkija: 6, 4%
- Japonija: 3, 8 proc.
- Kita: 2, 4 proc.
Dėl minėto šalių paskirstymo atitinkamai nukentėjo „Bad Rabbit“. Įdomu tai, kad visos šios šalys nukentėjo tuo pačiu metu. Gana tikėtina, kad grupė jau turėjo koją nukentėjusių organizacijų tinkle.
Kaip.
Blogo triušio platinimo metodas yra „Atsisiuntimas pagal diską“. Paprasčiau tariant, atsisiuntimas naudojant „by drive-by“ yra netyčinis atsisiuntimo langas, rodomas svetainėse ar el. Tokiais atvejais „tiekėjas“ teigia, kad vartotojas „sutiko“ su tuo konkrečiu atsisiuntimu, nors vartotojas iš tikrųjų visiškai nežinojo, kad pradėjo atsisiųsti nepageidaujamą ar kenksmingą programinę įrangą.
Panašiai ir su „Bad Rabbit“ atveju tai, ką iki šiol matėme, yra iššokantis langas, kuriame prašoma atsisiųsti atnaujintą „Adobe Flash Player“ versiją, kaip parodyta žemiau.
Kai tik kas nors paspaudžia atsisiuntimo mygtuką, atsisiunčiamas vykdomasis failas. Šis vykdomasis failas, ty install_flash_player.exe, yra „Bad Rabbit“ lašas. Galų gale kompiuteris užsirakina ir rodo išpirkos užrašą taip.
Be to, „Bad Rabbit“ mokėjimo puslapis atrodo maždaug taip.
Toliau pateikiamos kompromituojamos svetainės.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- „hxxp“: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // an-kriminalinis
- hxxp: //www.t.ksua
- hxxp: // most-dneprinfo
- „hxxp“: //osvitaportal.comua
- „hxxp“: //www.otbranacom
- hxxp: //calendar.fontankaru
- „hxxp“: //www.grupovobg
- „hxxp“: //www.pensionhotelcz
- „hxxp“: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- „hxxp“: //bg.pensionhotelcom
- hxxp: // ankerch-krimaru
Kas dabar?
Kibernetiniai išpuoliai šiandien tapo daugybe veidų. Internetas nebėra saugi vieta, todėl labai rekomenduojama naudoti autentišką VPN; ypač jungiantis prie viešojo „Wi-Fi“.
Sukurkite saugiai užšifruotą tunelį tarp savęs ir interneto su pagrindiniu pramonės VPT paslaugų teikėju „Ivacy VPN“ ir valdykite buvimą internete ir saugokite savo vertingus duomenis.
