NSA mengeksploitasi mendistribusikan Bad Rabbit Ransomware

Computer Security News

Pakar keamanan melaporkan bahwa berlawanan dengan laporan-laporan awal mereka, Bad Rabbit ransomware memanfaatkan mengeksploitasi yang terkait untuk US National Security Agency (NSA).

Identik untuk wiper NotPetya berbahaya, Bad Rabbit ransomware juga menggunakan protokol Server pesan blok (SMB) untuk menyebarkan dalam jaringan dikompromikan. Namun, para peneliti yang digunakan untuk berpikir bahwa tidak seperti NotPetya, kelinci buruk tidak menggunakan EternalBlue, maupun EternalRomance memanfaatkan. Namun, sekarang para ahli konfirmasi bahwa sementara Bad Rabbit ransomware tidak menggunakan EternalBlue, itu benar-benar memanfaatkan EternalRomance menyebar dalam jaringan.

Microsoft dibahas kerentanan EternalRomance Maret 2017, tahun ini, melepaskan buletin keamanan yang juga ditambal eksploitasi EternalChampion, EternalBlue dan EternalSynergy.

Kelompok hacker bayangan broker dipublikasikan beberapa rincian dari kekurangan tersebut pada bulan April, tahun ini. Kelompok mengklaim bahwa mereka telah memperoleh ini dan banyak eksploitasi lainnya dari NSA dan bahwa mereka digunakan oleh salah satu tim badan yang dikenal sebagai kelompok persamaan.

Segera setelah kekurangan go public, Microsoft mengumumkan bahwa mereka telah telah diperbaiki, yang menyarankan bahwa korporasi diberitahu tentang kerentanan oleh NSA itu sendiri.

Berdasarkan analisis awal, ada banyak hubungan antara kelinci buruk dan NotPetya, termasuk target mereka – Ukraina dan Rusia, binari ditandatangani dengan sertifikat kadaluarsa, menggunakan Mimikatz untuk meraih kredensial, reboot dan kegigihan melalui tugas-tugas yang dijadwalkan, penghapusan log peristiwa dan USN mengubah jurnal, serta jenis file enkripsi dan ransomware fungsi yang sama.

Namun, perbedaan penting antara buruk kelinci dan NotPetya adalah fakta bahwa kelinci buruk ternyata menjadi ransomware nyata dan pengguna file dapat dipulihkan setelah membayar tebusan. Sementara NotPetya telah diklasifikasikan sebagai wiper karena fakta bahwa fungsi pembayaran uang tebusan tidak dilaksanakan dengan baik yang membuat pemulihan file yang mustahil.

Perbedaan besar lainnya antara ancaman adalah kenyataan bahwa kelinci buruk sebagian besar dipengaruhi perusahaan, terutama di Rusia. Meskipun, banyak korban di Ukraina adalah organisasi profil tinggi.

NotPetya wiper telah dikaitkan dengan ancaman Rusia yang dikenal sebagai BlackEnergy, TeleBots dan tim Sandworm, menyarankan bahwa dengan geng cyber yang sama mungkin di belakang kelinci buruk serangan juga.

Berdasarkan analisis infrastruktur kelinci buruk, beberapa domain dikompromikan yang digunakan dalam serangan telah dibentuk sejak di Juli setidaknya, sementara beberapa server injeksi yang terlihat lebih dari setahun yang lalu.


Leave a Reply

Your email address will not be published. Required fields are marked *