Virusul din Rusia și Ucraina care-ți cere bani ca să nu-ți șteargă tot de pe calculator

Un val nou de ransomware a lovit mai multe ținte din Rusia și Europa de Est marți, conform știrilor și rapoartelor oferite de companiile de securitate.

Malware-ul, poreclit Bad Rabbit, a lovit trei companii media din Rusia, printre care se numără și agenția de știri Interfax, conform firmei de securitate Group-IB. Odată ce-ți intră în calculator, Bad Rabbit postează un mesaj cu litere roșii pe un fundal negru, un design folosit și în timpul crizei imense cauzate de ransomware-ul NotPetya.

Mesajul de rescumpărare cere victimei să se înregistreze pe un site ascuns pe Tor ca să plătească 0.05 bitcoini, care însemnau 282 de dolari în momentul în care a apărut textul. Site-ul arată și o numărătoare inversă de aproximativ 40 de ore înainte ca prețul decriptării să urce.

La acest moment, nu se știe clar cine-i în spatele atacului, câte victime sunt, cum se răspândește malware-ul sau de unde a pornit. Interfax a zis pe Twitter că, din cauza unui atac cibernetic, serverele sale au picat. Și aeroportul din Odessa, Ucraina, a fost lovit de atacul cibernetic de marți, dar încă nu e clar dacă era Bad Rabbit.

Agenția ucraineană de intervenție în caz de urgențe cibernetice CERT-UA a postat un mesaj de alertă marți dimineață prin care atenționa un val nou de atacuri cibernetice, fără să spună clar că-i vorba de Bad Rabbit.

Un purtător de cuvânt al Group-IB a zis că „noul atac cibernetic în masă" pe nume Bat Rabbit a avut ca țintă companiile media rusești Interfax și Fontanka, precum și ținte din Ucraina cum ar fi aeroportul din Odessa, metroul din Kiev și Ministerul Infrastructurii din Ucraina.

Firma de securitate cu sediul la Moscova, Karspersky Lab, a zis că cele „mai multe" infecții cu Bad Rabbit sunt în Rusia. Mai sunt câteva în Ucraina, Turcia și Germania. Compania a zis că Bad Rabbit e „un atac împotriva corporațiilor".

„Conform datelor noastre, majoritatea victimelor acestor atacuri se găsesc în Rusia. Am mai văzut câteva atacuri similare în Ucraina, Turcia și Germania. Ransomware-ul ăsta infectează dispozitivele printr-un număr de site-uri de presă rusești care au fost sparte de hackeri", a zis într-o declarație șeful echipei de cercetare anti-malware de la Kaspersky Lab, Vyacheslav Zakorshevsky. „În urma investigației noastre, am descoperit că a fost vorba de un atac care a avut ca țintă corporațiile și a folosit metode similare cu cele din atacul ExPetr[NotPetya]. Însă nu putem confirma dacă are vreo legătură cu [NotPetya]."

ESET, altă companie de securitate din Republica Cehă, a confirmat că există o campanie de ransomware încă activă. Compania a declarat într-o postare de blog că cel puțin în cazul metroului din Kiev, malware-ul e „o variantă nouă de ransomware cunoscută ca Petya". NotPetya era la rândul ei o variantă de Petya. ESET a zis că a detectat „sute" de infecții.

Un cercetător de la Proofpoint a zis că Bad Rabbit se răspândește printr-un program fals de instalare al Adobe Flash Player. Cercetătorii de la Kaspersky Lab au confirmat asta și au adăugat că lansatorul - fișierul care lansează aplicația malițioasă - a fost distribuit prin capcane puse pe site-uri reale, „toate fiind site-uri de știri sau publicații online".

Update-ul fals de Flash nu e singura cale prin care Bad Rabbit s-a răspândit, conform ESET. Ransomware-ul încearcă să infecteze computerele aflate în aceeași rețea cu cel infectat prin protocolul de data sharing de la Windows SMB, după care folosește instrumentul Mimikatz.

Inițial, foarte puține companii antivirus au detectat Bad Rabbit ca fiind un program malițios, conform VirusTotal. Cercetătorul în securitate a urcat o mostră din malware pe Hybrid Analysis, o alternativă gratuită de la VirusTotal.

Un cercetător de la McAfee a zis că Bad Rabbit criptează o gamă variată de fișiere, printre care și .doc, .docx, .jpg și alte tipuri de fișiere normale. Conform câtorva cercetători, Bad Rabbit conține referințe din Game of Thrones, mai exact numele celor trei dragoni, Drogon, Rhaegal și Viserion.

Hackerii au folosit și o referință din filmul Hackers din 1995 în codul lor. Ca parte din lista de date implicite pe care malware-ul le folosește ca să aleagă computerele se numără și următoarele parole: iubire, secret, sex, dumnezeu, patru dintre cele mai întâlnite parole, conform filmului.