Bad Rabbit: Not-Petya повертається з оновленою версією програми-вимагача

Як вже повідомляли спеціалісти ESET, сьогодні було виявлено новий спалах загрози, яка атакувала критично важливі об'єкти інфраструктури в Україні. Нижче представлені певні деталі даної варіації загрози, яка отримала назву Bad Rabbit.

ОНОВЛЕННЯ від 27 жовтня: Відповідно до даних звіту, опублікованого у блозі http://blog.talosintelligence.com, для поширення Diskcoder.D у мережі використовувався інструмент EternalRomance, який був розкритий у результаті витоку даних організації NSA. Спеціалістам ESET вдалося підтвердити використання EternalRomance шляхом інсталяції виправлення MS17-010, яке звертається до уразливості, що використовується експлойтом NSA, та запобігає подальшому поширенню шкідливої програми через спільні ресурси IPC.

Приховане завантаження загрози через уразливості на популярних сайтах

Одним із способів поширення загрози Bad Rabbit є приховане завантаження файлів .js під час відвідування деяких популярних веб-сайтів, які були скомпрометовані та містили шкідливий JavaScript у своєму HTML тілі.

Нижче наведено приклад проникнення:

Цей скрипт відправляє зібрані дані на адресу 185.149.120[.]3, де на основі отриманої інформації визначається , який контент необхідно відобразити на сторінці веб-ресурсу для даного користувача.

Дані, які відправляються:

  • Browser User-Agent
  • Referrer
  • Cookie файли з сайту, що відвідувався
  • Доменне ім'я сайту, що відвідувався

Логіка на боці сервера визначає, чи потрапляє відвідувач в групу інтересу зловмисників, а потім показує вміст сторінки. У цьому випадку з'являється спливаюче вікно посередині сторінки з пропозицією завантажити оновлення для Flash Player.

Натискання кнопки «Встановити» ініціює завантаження з 1dnscontrol[.]com виконуваного файлу install_flash_player.exe, який, в свою чергу, несанкціоновано та без відома користувача завантажує шкідливе програмне забезпечення Win32/Filecoder.D.

Після цього комп'ютер жертви блокується, а на екрані відображається повідомлення з вимогою викупу:

Сторінка оплати:

Розповсюдження через SMB протокол

Загроза Win32/Diskcoder.D має можливість поширюватися через SMB протокол. На відміну від інформації в деяких відкритих джерелах, дана шкідлива програма не використовує уразливість EthernalBlue, як це робила загроза Win32/Diskcoder.C (Not-Petya). В першу чергу Win32/Diskcoder.D здійснює перевірку внутрішньої мережі на наявність відкритих SMB папок.

Пошук здійснюється за такими папками:

  • admin
  • atsvc
  • browserv
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spoolss
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

Для збору облікових даних запускається утиліта Mimikatz. У коді також присутні жорстко закодовані варіанти імен користувачів і паролів.

У разі успішної крадіжки облікових даних, файл infpub.dat переміщується в каталог Windows і виконується за допомогою SCManager та rundll.exe.

Шифрування

Win32/Diskcoder.D є модифікованою версією Win32/Diskcoder.C, у якій були виправлені помилки в шифруванні. Тепер шифрування використовує DiskCryptor — легальне програмне забезпечення з відкритим вихідним кодом, що використовується для повнодискового шифрування. Ключі генеруються з використанням CryptGenRandom, а потім захищаються жорстко закодованим відкритим ключем RSA 2048.

Зашифровані файли мають розширення .encrypted. Як і раніше, використовується алгоритм AES-128-CBC.

Розповсюдження

Цікавим є той факт, що відповідно до даних телеметрії ESET, лише 12,2% від загальної кількості виявлень компоненту програми-завантажувача зафіксовано в Україні. Значна частина інфікувань спостерігалася у таких країнах як:

  • Росія: 65%
  • Україна: 12,2%
  • Болгарія: 10,2%
  • Туреччина: 6,4%
  • Японія: 3,8%
  • Інші: 2,4%

Це значною мірою відповідає розповсюдженню уразливих сайтів, що містять шкідливий JavaScript. Тоді чому ж Україна здається більш постраждалою стороною, ніж інші?

Цікаво відзначити, що всі жертви в Україні були атаковані одночасно, на відміну від несинхронного інфікування інших жертв. Цілком ймовірно, що загроза вже була присутня всередині їх мереж та почала атаку одночасно з загрозою-приманкою, за допомогою якої були інфіковані інші жертви. Ніщо не вказує на те, що інфікування жертв в Україні здійснювалось через поновлення FlashPlayer. Дослідники ESET продовжують аналіз виявленої загрози та опублікують нові висновки, як тільки буде виявлена додаткова інформація.

Зразки

Сервери C&C

Сайт для платежу: http://caforssztxqzf2nm[.]onion

URL, яке вставляється: http://185.149.120[.]3/scholargoogle/

URL для розповсюдження: hxxp://1dnscontrol[.]com/flash_install.php

Список скомпрометованих сайтів:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

Звертаємо Вашу увагу! Актуальні рекомендації спеціалістів ESET завжди доступні у документі «ESET_Recommendations_2017.pdf». Будь ласка, слідкуйте за оновленнями!

У разі виявлення ознак інфікування або виникнення запитань, будь ласка, напишіть запит до служби технічної підтримки ESET в Україні на електронну адресу support@eset.ua, вказавши контактний номер телефону та ім'я відповідальної особи для зворотнього зв'язку.