در سال جاری، سال 2017 همگی ما شاهد دو نوع از حمله های گسترده و بی رحم باج افزارها بودیم که مهاجمین آن ها را با نام های واناکرای و ExPetr معرفی نمودند. اینطور که به نظر می رسد این حملات ادامه دارند و سومین حمله ی گسترده در حال رشد است. بدافزار جدیدی که به تازگی شناسایی شده است Bad Rabbit نامیده شده است و این نامی است که توسط وب سایت darknet به این باج افزار لقب داده شده است.
آنچه که در حال حاضر در مورد باج افزار Bad Rabbit مشخص شده است آلودگی و خرابکارهایی است که این بدافزار در روسیه داشته است و تا به حال توانسته است چندین رسانه ی بزرگ را در روسیه آلوده کند. خبرگزاری اینترفاکس و Fontanka.ru نیز از بین قربانیان این باج افزار بوده اند.
فرودگاه بین المللی Odessa بر روی سیستم اطلاعاتی خود یک حمله ی سایبری گزارش داده است که البته نوع این حمله همچنان مشخص نیست، اما متخصصان امنیتی به Bad Rabbit مشکوک هستند.
مجرمان پشت حمله ی Bad Rabbit خواستار 0.05 بیت کوین به عنوان باج درخواستی از قربانیان بودند که این رقم بیت کوین معادل 280 دلار در نرخ ارز فعلی می باشد.
بر اساس یافته های ما، این حمله به هیچ عنوان از اکسپلویت ها استفاده نمی کند. اما حمله ی Bad Rabbit به این صورت است: قربانیان به صورت ناآگاه یک Adobe Flash از وب سایت آلوده را نصب و دانلود می کنند.
دامی که مجرمان در این حمله برای کاربران گذاشته اند مربوط به فایل Adobe Flash می باشد. در این حمله قربانیان به صورت اتفاقی Adobe Flash را دانلود و نصب کرده و سپس فایل .exe را به صورت دستی راه اندازی میکنند. بله همانطور که تصور می کنید این پایان ماجرا است و در همین مرحله سیستم کاربران دچار آلودگی می شود. محققان امنیتی ما تعداد زیادی از وب سایت های خطرناک همانند وب سایت های خبری و رسانه ها را شناسایی کرده اند.
اما آیا امکان رمزنگاری فایل های رمزنگاری شده (چه با پرداخت باج و یا به هر نحوی) توسط Bad Rabbit وجود دارد؟ طبق معمول لابراتوار کسپرسکی در حال تحقیق در مورد این حمله است و به محض یافتن موارد جدید بی شک یافته های خود را به روز رسانی می کند.
بر اساس اطلاعات بدست آمده، بیشتر قربانیان در روسیه اسیر باج افزار Bad Rabbit شده اند. البته هنوز خیلی چیزها مشخص نیست و متاسفانه حملات مشابهی در کشورهای اوکراین، ترکیه و آلمان نیز دیده شده است. این باج افزار موفق شده است تا دستگاه ها را از طریق تعدادی از وب سایت های رسانه ای هک شده در روسیه آلوده سازد. بر اساس تحقیقات ما Bad Rabbit یک حمله ی بزرگ سایبری علیه شبکه های شرکت های بزرگ است که از روش های مشابهی همچون حمله ی ExPetr استفاده کرده است.
محصولات قوی لابراتوار کسپرسکی این حمله را با عنوان های زیر شناسایی می کند:
1 - UDS:DangerousObject.Multi.Generic (توسط امنیت شبکهی کسپرسکی شناسایی می شود)
2 - PDM:Trojan.Win32.Generic (توسط سیستم واچر شناسایی می شود)
3 - Trojan-Ransom.Win32.Gen.ftl
راه هایی که شما را در برابر باج افزار Bad Rabbit محافظت می کند
کاربران محصولات لابراتوار کسپرسکی:
• از فعال بودن سیستم واچر و امنیت شبکه ی کسپرسکی خود اطمینان حاصل کنید، اگر این چنین نیست حتما آن را فعال نمایید؛
دیگر کاربران:
• فایل های اجرایی c:\windows\infpub.dat و c:\Windows\cscc.dat را مسدود نمایند؛
• سرویس WMI (اگر برای شما مقدور است) را به منظور جلوگیری از گسترش تروجان روی شبکه ی شما غیر فعال کنید؛
نکاتی برای همه ی کاربران:
• بک آپ گیری را فراموش نکنید؛
• به هیچ وجه به مجرمان باج نپردازید؛