Nacionalni CERT

BadRabbit ransomware širi se Europom

BadRabbit, novi ransomware nalik na one koje smo doživjeli u svibnju i lipnju ove godine, ponovno je masovno zahvatio nekoliko država istočne Europe. Glavnina napada ciljala je javni i privatni sektor, na primjer ukrainski aerodrom, sustav podzemne željeznice, ukrainsko Ministarstvo infrastrukture, tri ruske novinarske agencije itd. Brzina širenja slična je onoj kod WannaCry i NotPetya ransomwarea.

Ovaj ransomware pogađa Windows operacijske sustave, i to verzije od XP do 10. BadRabbit koristi nekoliko vektora napada, a jedan od njih je ranjivost SMB protokola koja se iskorištavala i u prethodno navedenim ransomware kampanjama. Microsoft je u ožujku izdao zakrpu za EternalBlue ranjivost, a u svibnju je izdao zakrpu za starije verzije Windowsa. Bez obzira na primijenjene zakrpe, čak i potpuno zakrpani operacijski sustavi mogu biti ranjivi.

Prema izvještaju stručnjaka za računalnu sigurnost, malware je zapakiran kao nadogradnja Flash Playera, a širi se nakon što korisnici posjete neku od kompromitiranih web stranica koje vrše preusmjeravanje na domenu 1dnscontrol[.]com na kojoj se nalazi maliciozna datoteka. Prije zaraze samog sustava šalje se POST zahtjev prema statičkom IP-u te se skupljaju podaci o zahvaćenom računalu. Nakon što se malware instalira na korisničko računalo, iskorištava se SMB protokol za dalje širenje mrežom. Malware na navedenoj domeni bio je aktivan otprilike šest sati prije nego što je domena uklonjena. Za sada nema poznatih alata za dešifriranje podataka šifriranih BadRabbit zlonamjernim sadržajem.

Za prevenciju od zaraze sustava svakako redovito nadograđujte operacijske sustave, izrađujte sigurnosne kopije podataka, nemojte izlagati SMB protokol mreži (blokiranje TCP/445 porta ili onemogućavanje SMBv1 protokola), ne koristite administratorske ovlasti na računalu dok to nije potrebno te onemogućite WMIC (Windows Management Instrumentation Command-line).

25.10.2017