Serangan siber skala besar ketiga dalam setahun. Kali ini, virus tersebut memiliki nama baru, Bad Rabbit, dan kebiasaan lama: mengenkripsi data dan memeras uang untuk membuka kunci. Dan Rusia, Ukraina dan beberapa negara CIS lainnya masih berada di wilayah yang terkena dampak.

Bad Rabbit mengikuti pola yang biasa: ia mengirimkan email phishing dengan virus atau tautan terlampir. Secara khusus, penyerang mungkin berpura-pura menjadi dukungan teknis Microsoft dan meminta Anda untuk segera membuka file lampiran atau mengikuti tautan. Ada rute distribusi lain - jendela pembaruan palsu. Adobe Flash Pemain. Dalam kedua kasus tersebut, Bad Rabbit bertindak dengan cara yang sama seperti yang terjadi beberapa waktu yang lalu; ia mengenkripsi data korban dan meminta uang tebusan sebesar 0,05 bitcoin, yaitu sekitar $280 dengan nilai tukar pada tanggal 25 Oktober 2017. Korban epidemi baru ini adalah Interfax, Fontanka terbitan St. Petersburg, Metropolitan Kiev, bandara Odessa, dan Kementerian Kebudayaan Ukraina. Ada bukti bahwa virus baru ini mencoba menyerang beberapa bank terkenal Rusia, namun gagasan ini gagal. Para ahli menghubungkan Bad Rabbit dengan serangan besar sebelumnya yang tercatat pada tahun ini. Buktinya adalah perangkat lunak enkripsi serupa Diskcoder.D, dan ini adalah enkripsi Petya yang sama, hanya sedikit dimodifikasi.

Bagaimana cara melindungi diri Anda dari Kelinci Jahat?

Para ahli merekomendasikan kepada pemilik komputer Windows buat file "infpub.dat" dan letakkan di dalamnya map jendela di drive "C". Hasilnya, jalurnya akan terlihat seperti ini: C:\windows\infpub.dat. Ini dapat dilakukan dengan menggunakan notepad biasa, tetapi dengan hak Administrator. Untuk melakukan ini, temukan link ke program Notepad, klik kanan dan pilih "Run as Administrator".

Selanjutnya Anda hanya perlu menyimpan file ini ke alamat C:\windows\, yaitu ke folder Windows di drive “C”. Nama file: infpub.dat, dengan “dat” sebagai ekstensi file. Jangan lupa ganti ekstensi notepad standar "txt" dengan "dat". Setelah Anda menyimpan file, buka folder Windows, temukan file infpub.dat yang dibuat, klik kanan padanya dan pilih "Properties", di mana di bagian paling bawah Anda perlu mencentang kotak "Read Only". Dengan cara ini, meskipun Anda tertular virus Bad Bunny, data Anda tidak akan dapat dienkripsi.

Tindakan pencegahan

Jangan lupa bahwa Anda dapat melindungi diri dari virus apa pun hanya dengan mengikuti aturan tertentu. Ini mungkin terdengar sepele, tapi jangan pernah membuka email, apalagi lampirannya, jika alamatnya tampak mencurigakan bagi Anda. Email phishing, yang menyamar sebagai layanan lain, adalah metode infeksi yang paling umum. Berhati-hatilah dengan apa yang Anda buka. Jika dalam email file terlampir bernama “Dokumen penting.docx_______.exe”, maka Anda sebaiknya tidak membuka file ini. Selain itu, Anda perlu memilikinya cadangan file penting. Misalnya, arsip keluarga dengan foto atau dokumen kerja dapat diduplikasi penggerak eksternal atau aktif penyimpanan awan. Jangan lupa betapa pentingnya menggunakannya versi berlisensi Windows dan instal pembaruan secara teratur. Patch keamanan dirilis oleh Microsoft secara berkala dan mereka yang menginstalnya tidak memiliki masalah dengan virus tersebut.

Akhir bulan Oktober tahun ini ditandai dengan munculnya virus baru yang aktif menyerang komputer pengguna korporat dan rumahan. Virus baru adalah seorang kriptografer dan disebut Bad Rabbit yang artinya kelinci nakal. Virus ini digunakan untuk menyerang situs beberapa media Rusia. Belakangan, virus itu ditemukan di jaringan informasi perusahaan Ukraina. Di sana, jaringan informasi metro, berbagai kementerian, bandara internasional, dll diserang. Beberapa saat kemudian, serangan virus serupa terjadi di Jerman dan Turki, meskipun aktivitasnya jauh lebih rendah dibandingkan di Ukraina dan Rusia.

Virus berbahaya adalah plugin khusus yang, setelah mencapai komputer, mengenkripsi file-filenya. Setelah informasi dienkripsi, penyerang mencoba mendapatkan imbalan dari pengguna karena mendekripsi data mereka.

Penyebaran virus

Spesialis dari laboratorium program antivirus ESET menganalisis algoritma jalur penyebaran virus dan sampai pada kesimpulan bahwa itu adalah virus modifikasi yang menyebar belum lama ini, seperti virus Petya.

Spesialis laboratorium ESET menentukan bahwa plugin berbahaya didistribusikan dari sumber daya 1dnscontrol.com dan alamat IP IP5.61.37.209. Beberapa sumber daya lain juga dikaitkan dengan domain dan IP ini, termasuk secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Para ahli telah menyelidiki bahwa pemilik situs-situs ini telah mendaftarkan banyak sumber daya yang berbeda, misalnya, sumber-sumber yang digunakan untuk mencoba menjual obat-obatan palsu menggunakan surat spam. Spesialis ESET Ada kemungkinan bahwa dengan bantuan sumber daya ini, menggunakan surat spam dan phishing, serangan dunia maya utama dilakukan.

Bagaimana infeksi virus Bad Rabbit terjadi?

Spesialis dari Laboratorium Forensik Komputer melakukan penyelidikan tentang bagaimana virus bisa masuk ke komputer pengguna. Ditemukan bahwa dalam banyak kasus, virus ransomware Bad Rabbit didistribusikan sebagai pembaruan untuk Adobe Flash. Artinya, virus tidak mengeksploitasi kerentanan apa pun sistem operasi, tetapi dipasang oleh pengguna itu sendiri, yang, tanpa sadar, menyetujui pemasangannya, karena mengira mereka sedang memperbarui plugin Adobe Flash. Saat virus masuk jaringan lokal, ia mencuri login dan kata sandi dari memori dan menyebar secara independen ke sistem komputer lain.

Bagaimana peretas memeras uang

Setelah virus ransomware diinstal pada komputer, ia mengenkripsi informasi yang disimpan. Selanjutnya, pengguna menerima pesan yang menunjukkan bahwa untuk mendapatkan akses ke data mereka, mereka harus melakukan pembayaran di situs tertentu di darknet. Untuk melakukan ini, Anda perlu menginstal browser Tor khusus terlebih dahulu. Untuk membuka kunci komputer, penyerang memeras pembayaran sebesar 0,05 bitcoin. Saat ini, dengan harga $5.600 per Bitcoin, itu berarti sekitar $280 untuk membuka kunci komputer. Pengguna diberikan jangka waktu 48 jam untuk melakukan pembayaran. Setelah periode ini, jika jumlah yang diperlukan belum ditransfer ke rekening elektronik penyerang, jumlah tersebut akan bertambah.

Bagaimana melindungi diri Anda dari virus

1. Untuk melindungi diri Anda dari infeksi virus Bad Rabbit, Anda harus memblokir akses dari lingkungan informasi ke domain di atas.
2. Untuk pengguna rumahan, Anda perlu memperbarui yang terkini Versi Windows dan juga program antivirus. Dalam hal ini, file berbahaya akan terdeteksi sebagai virus ransomware, yang akan mengecualikan kemungkinan instalasinya di komputer.
3. Para pengguna yang menggunakan sistem operasi antivirus bawaan sistem Windows, sudah memiliki perlindungan terhadap ransomware ini. Ini diterapkan di aplikasi Windows Antivirus Pembela.
4. Pengembang program antivirus dari Kaspersky Lab menyarankan semua pengguna untuk membuat cadangan data mereka secara berkala. Selain itu, para ahli merekomendasikan untuk memblokir eksekusi file c:\windows\infpub.dat, c:\WINDOWS\cscc.dat, dan juga, jika memungkinkan, penggunaan layanan WMI harus dilarang.

Kesimpulan

Setiap pengguna komputer harus ingat bahwa keamanan siber harus diutamakan saat bekerja di jaringan. Oleh karena itu, Anda harus selalu memastikan bahwa Anda hanya menggunakan sumber informasi yang terbukti dan menggunakannya dengan hati-hati e-mail Dan media sosial. Melalui sumber daya inilah berbagai virus paling sering menyebar. Aturan dasar perilaku di lingkungan informasi akan membantu menghilangkan masalah yang timbul selama serangan virus.

Pada tanggal 24 Oktober, media Rusia, serta perusahaan transportasi dan lembaga pemerintah di Ukraina, diserang oleh ransomware Bad Rabbit. Menurut sumber terbuka, para korban termasuk metro Kiev, bandara Odessa, Kementerian Infrastruktur Ukraina, kantor editorial Interfax dan Fontanka.

Menurut laboratorium virus ESET, serangan terhadap metro Kiev menggunakan malware Diskcoder.D, modifikasi baru dari enkripsi yang dikenal sebagai Petya.

Spesialis di keamanan informasi Group-IB menemukan bahwa penyerangan telah dipersiapkan selama beberapa hari. ESET memperingatkan bahwa ransomware memasuki komputer melalui pembaruan plugin Adobe Flash palsu. Setelah itu, ia menginfeksi PC dan mengenkripsi file di dalamnya. Kemudian sebuah pesan muncul di monitor yang menyatakan bahwa komputer terkunci, dan untuk mendekripsi file Anda harus mengunjungi situs web Bad Rabbit - caforssztxqzf2nm.onion melalui browser Tor.

Epidemi ransomware WannaCry dan NotPetya menunjukkan bahwa pembaruan perlu dilakukan tepat waktu program yang diinstal dan sistem, serta membuat salinan cadangan agar tidak ketinggalan informasi penting setelah serangan virus.

Namun jika terjadi infeksi, para ahli dari Group-IB tidak menyarankan untuk membayar uang tebusan, karena:

• dengan cara ini Anda membantu penjahat;
• Kami tidak memiliki bukti bahwa data mereka yang membayar telah dipulihkan.

Bagaimana cara melindungi komputer Anda dari infeksi Bad Rabbit?

Untuk menghindari menjadi korban epidemi Bad Rabbit yang baru, para ahli Kaspersky Lab menyarankan untuk melakukan hal berikut:

Untuk pengguna solusi antivirus Kaspersky Lab:

• Periksa apakah solusi keamanan Anda menyertakan komponen Keamanan Kaspersky Monitor Jaringan dan Aktivitas (alias System Watcher). Jika tidak, pastikan untuk menyalakannya.

Bagi mereka yang tidak menggunakan solusi antivirus Kaspersky Lab.

Kemarin, 24 Oktober 2017, media besar Rusia, serta sejumlah lembaga pemerintah Ukraina, diserang oleh penyerang tak dikenal. Di antara para korban adalah Interfax, Fontanka dan setidaknya satu publikasi online lainnya yang tidak disebutkan namanya. Mengikuti media, masalah juga dilaporkan Bandara internasional"Odessa", Metro Kyiv dan Kementerian Infrastruktur Ukraina. Menurut pernyataan analis Group-IB, penjahat juga mencoba menyerang infrastruktur perbankan, namun upaya tersebut tidak berhasil. Spesialis ESET, sebaliknya, mengklaim bahwa serangan tersebut mempengaruhi pengguna dari Bulgaria, Turki dan Jepang.

Ternyata, gangguan pada pekerjaan perusahaan dan lembaga pemerintah bukan disebabkan oleh serangan DDoS besar-besaran, namun oleh ransomware yang disebut Bad Rabbit (beberapa ahli lebih suka menulis BadRabbit tanpa spasi).

Kemarin, sedikit yang diketahui tentang malware dan mekanisme operasinya: dilaporkan bahwa ransomware tersebut meminta tebusan sebesar 0,05 bitcoin, dan pakar Grup-IB juga mengatakan bahwa serangan tersebut telah dipersiapkan selama beberapa hari. Dengan demikian, dua skrip JS ditemukan di situs web penyerang, dan berdasarkan informasi dari server, salah satunya diperbarui pada 19 Oktober 2017.

Kini, meski belum genap satu hari berlalu sejak dimulainya serangan, analisis ransomware telah dilakukan oleh para spesialis dari hampir semua perusahaan keamanan informasi terkemuka di dunia. Jadi, apa itu Bad Rabbit, dan apakah kita akan menghadapi “epidemi ransomware” baru seperti WannaCry atau NotPetya?

Bagaimana Bad Rabbit bisa menyebabkan pemadaman media besar-besaran padahal semuanya tentang pembaruan Flash palsu? Menurut ESET , emsisoft Dan Rubah-IT, setelah infeksi, malware menggunakan utilitas Mimikatz untuk mengekstrak kata sandi dari LSASS, dan juga memiliki daftar login dan kata sandi yang paling umum. Malware menggunakan semua ini untuk menyebar melalui SMB dan WebDAV ke server dan workstation lain yang terletak di jaringan yang sama dengan perangkat yang terinfeksi. Pada saat yang sama, para ahli dari perusahaan yang tercantum di atas dan karyawan Cisco Talos meyakini hal tersebut dalam hal ini tidak ada alat yang dicuri dari badan intelijen yang mengeksploitasi kelemahan UKM. Izinkan saya mengingatkan Anda akan hal itu virus WannaCry dan NotPetya didistribusikan menggunakan eksploitasi khusus ini.

Namun para ahli masih berhasil menemukan beberapa kesamaan antara Bad Rabbit dan Petya (NotPetya). Dengan demikian, ransomware tidak hanya mengenkripsi file pengguna menggunakan DiskCryptor open source, tetapi juga memodifikasi MBR (Master Boot Record), setelah itu me-reboot komputer dan menampilkan pesan yang meminta uang tebusan.

Meskipun pesan dengan tuntutan penyerang hampir sama dengan pesan dari operator NotPetya, para ahli memiliki pendapat yang sedikit berbeda mengenai hubungan antara Bad Rabbit dan NotPetya. Jadi, analis di Intezer menghitung kode sumber malware tersebut

Pada akhir tahun 1980-an, virus AIDS (“PC Cyborg”), yang ditulis oleh Joseph Popp, menyembunyikan direktori dan file terenkripsi, sehingga memerlukan pembayaran sekitar $200 untuk “perpanjangan lisensi”. Pada awalnya, ransomware hanya ditujukan kepada orang-orang biasa yang menggunakan komputer yang sedang berjalan Kontrol jendela, namun kini ancaman itu sendiri telah menjadi masalah serius bagi bisnis: semakin banyak program bermunculan, semakin murah dan mudah diakses. Pemerasan menggunakan malware adalah ancaman dunia maya utama di 2/3 negara UE. Salah satu virus ransomware yang paling umum, CryptoLocker, telah menginfeksi lebih dari seperempat juta komputer di negara-negara UE sejak September 2013.

Pada tahun 2016, jumlah serangan ransomware meningkat tajam—menurut para analis, lebih dari seratus kali lipat dibandingkan tahun sebelumnya. Ini adalah tren yang sedang berkembang, dan, seperti yang telah kita lihat, berbagai perusahaan dan organisasi sedang diserang. Ancaman ini juga relevan bagi organisasi nirlaba. Karena untuk setiap serangan besar, program jahat ditingkatkan dan diuji oleh penyerang untuk “melewati” perlindungan anti-virus, anti-virus, pada umumnya, tidak berdaya melawannya.

Pada tanggal 12 Oktober, Dinas Keamanan Ukraina memperingatkan tentang kemungkinan serangan siber skala besar baru terhadap lembaga pemerintah dan perusahaan swasta, serupa dengan epidemi ransomware pada bulan Juni. BukanPetya. Menurut badan intelijen Ukraina, “serangan itu dapat dilakukan dengan menggunakan pembaruan, termasuk perangkat lunak aplikasi yang tersedia untuk umum.” Mari kita ingat hal itu jika terjadi serangan BukanPetya, yang peneliti kaitkan dengan grup BlackEnergy, korban pertama adalah perusahaan yang menggunakannya perangkat lunak Pengembang sistem manajemen dokumen Ukraina “M.E.Doc”.

Kemudian, dalam 2 jam pertama, perusahaan energi, telekomunikasi dan keuangan diserang: Zaporozhyeoblenergo, Dneproenergo, Dnieper Electric Power System, Mondelez International, Oschadbank, Mars, Nova Poshta, Nivea, TESA, Kiev Metro, komputer Kabinet Menteri dan Pemerintah Ukraina, toko "Auchan", operator Ukraina ("Kyivstar", LifeCell, "UkrTeleCom"), Privatbank, bandara Boryspil.

Sebelumnya, pada Mei 2017, virus ransomware WannaCry menyerang 200.000 komputer di 150 negara. Virus ini menyebar melalui jaringan universitas di Tiongkok, pabrik Renault di Perancis dan Nissan di Jepang, perusahaan telekomunikasi Telefonica di Spanyol dan operator kereta api Deutsche Bahn di Jerman. Karena komputer di klinik Inggris diblokir, operasi harus ditunda, dan unit regional Kementerian Dalam Negeri Rusia tidak dapat mengeluarkan surat izin mengemudi. Para peneliti mengatakan peretas Korea Utara dari Lazarus berada di balik serangan itu.

Pada tahun 2017, virus enkripsi mencapai tingkatan baru: penggunaan alat dari gudang intelijen Amerika dan mekanisme distribusi baru oleh penjahat dunia maya menyebabkan epidemi internasional, yang terbesar adalah WannaCry dan NotPetya. Terlepas dari skala infeksinya, ransomware itu sendiri mengumpulkan jumlah yang relatif kecil - kemungkinan besar ini bukan upaya untuk menghasilkan uang, namun untuk menguji tingkat perlindungan jaringan infrastruktur penting perusahaan, lembaga pemerintah, dan perusahaan swasta.