SIKKERHET

Krypterte ofrenes pc-er ved hjelp av falske Flash-oppdateringer

Denne gang var det brukerne som utgjorde sårbarheten.

De som står bak Bad Rabbit-skadevaren, krever 0,05 bitcoin i betaling for å utlevere krypteringsnøkkelen som må brukes for å låse opp filene som skadevaren har kryptert.
De som står bak Bad Rabbit-skadevaren, krever 0,05 bitcoin i betaling for å utlevere krypteringsnøkkelen som må brukes for å låse opp filene som skadevaren har kryptert. Bilde: Talos Intelligence Group
Harald BrombachHarald BrombachNyhetsleder
27. okt. 2017 - 05:00 | Endret 27. okt. 2017 - 09:11

En ny utpressingsvare som har flere egenskaper til felles med NotPetya, utpressingsvaren som i sommer blant annet forårsaket milliardutgifter for danske Maersk Line, har denne uken spredt seg spredt seg til datamaskiner hos en rekke virksomheter i flere land, ikke minst i Russland, men også i Bulgaria, Tyrkia, Polen og Ukraina. Det skal også ha vært tilfeller i Tyskland.  

Falsk Flash-oppdatering

Ifølge The Guardian skal lufthavnen i Odessa, metrosystemet i Kiev og det russiske nyhetsbyrået Interfax være blant de rammede. Sistnevnte var nødt til å publisere nyhetene på Facebook i flere timer fordi serverne til selskapet var blitt tatt ned.

Den innledende spredningen ser ut til å ha skjedd gjennom en falsk Flash Player-oppdatering som automatisk lastes ned fra en server som en rekke kompromitterte nettsteder i Russland, Bulgaria og Tyrkia har sendt ofrene til. Den aktuelle serveren skal ha blitt tatt ned etter omtrent seks timer, men Bad Rabbit, som den nye skadevaren heter, forsøker å spre seg selv videre til andre Windows-maskiner tilknyttet det samme lokalnettet. 

Beskytter ikke mot alt, men: Skru på den nye beskyttelsen mot ransomware i Windows 10

Hackers og Game of Thrones

Den bruker det samme modifiserte Mimikatz-verktøyet som NotPetya til å få tak i innloggingsinformasjon, men inkluderer også en liste med mye brukte, svake passord. Morsomt nok inkluderer listen de fire passordene som i filmen Hackers fra 1995 blir oppgitt som de vanligste: love, sex, secret og god. Men rekkefølgen er byttet om (god, sex, secret, love).

Det er også referanser til Game of Thrones i tilknytning til Bad Rabbit. Den oppretter tre planlagte oppgaver i Windows med navnene viserion_, rhaegal og drogon. Det samme heter dragene til en viss Daenerys Targaryen.

Det ser ikke ut til at Bad Rabbit utnytter noen kjente eller ukjente sårbarheter når den infiserer systemene. I stedet lokkes ofrene til å starte den falske Flash-oppdateringen. 

Det har vært rykter om at også Bad Rabbit skal inkludere EternalBlue-angrepskoden, som stammer fra NSA. Men lite tyder på at dette stemmer.

Bad Rabbit benytter to ulike teknikker for å gjøre ofrenes filer ut tilgjengelige, både fulldiskkryptering og kryptering av enkeltfiler. Etter en viss tid blir pc-en startet på nytt. Da blir brukeren møtt av dette skjermbildet:

Skjermen Bad Rabbit viser når filene på pc-en har blitt kryptert. Man må besøke en Tor Onion-adresse for å få nærmere instrukser om hvordan man få tilgang til systemet igjen. Men det beste er å ha en fersk sikkerhetskopi av alle de viktige filene. <i>Bilde: Talos Intelligence Group</i>
Skjermen Bad Rabbit viser når filene på pc-en har blitt kryptert. Man må besøke en Tor Onion-adresse for å få nærmere instrukser om hvordan man få tilgang til systemet igjen. Men det beste er å ha en fersk sikkerhetskopi av alle de viktige filene. Bilde: Talos Intelligence Group

Likheter med NotPetya

I tillegg til nevnte Mimikatz, har Bad Rabbit flere andre likheter med NotPetya. De bruker den samme teknikken for å lage fortegnelse over nettverkssystemene, visse hashingalgoritmer er de samme og det skal også ha blitt funnet servere som til en viss grad knytter de to skadevarekampanjene sammen. 

Cisco-eide Talos regner ikke Bad Rabbit som veldig sofistikert, men likevel vellykket til å spre skadevaren raskt, innenfor et begrenset tidsrom, for å gjøre mest mulig skade. Selskapet mener at denne form for kampanjer raskt er i ferd med å bli normalen innen trussellandskapet. 

Og en stor forskjell

Mens skadevare som Notpetya og Wannacry var vellykkede fordi så mange ikke hadde installert sikkerhetsoppdateringer som for lengst var blitt utgitt, så er det uforsiktige brukere som er den primære årsaken til pc-er blir infisert og kryptert av Bad Rabbit. (Oppdatert: se siste avsnitt i saken).

Talos mener at dette igjen forteller at brukeropplæringen hos mange ikke er god nok.

Det er samtidig et klart budskap innen IT-sikkerhetsbransjen at sikkerhet handler om å bygge lag på lag med sikkerhet, hvorav brukeropplæring bare er ett av disse. Flere heller mot at man i stedet for å bruke nesten alle ressursene på å forebygge angrep, bør fokusere på at man raskt skal komme på seg på beina igjen når ulykken først har skjedd. Da gjelder det å ha fungerende og oppdaterte sikkerhetskopier, samt innøvde rutiner for hvordan systemene og dataene raskt kan gjenopprettes.  

Oppdatering: De nyeste rapportene fra Talos og F-Secure tyder på at det likevel er brukt NSA-utviklet angrepskode i Bad Rabbit. Det er Bleeping Computer som skriver dette. Det er ikke den mye omtalte Eternalblue-angrepskoden som er brukt, men Eternalromance. NotPetya skal ha benyttet begge deler. 

Det skal likevel være vesentlige forskjeller i måten Eternalromance i de to skadevarene.

Leste du denne? Brøt seg inn stort, norsk fjernvarmesystem og krypterte serverne (Digi Ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.