'Ransomware die Rusland en Oekraïne trof mogelijk afkomstig van NotPetya-makers'

Verschillende landen, waaronder Rusland en Oekraïne, werden dinsdagavond getroffen door de zogenaamde Bad Rabbit-ransomware. Na een eerste analyse concludeert een beveiligingsbedrijf dat de malware mogelijk het werk is van de NotPetya-makers.

Deze inschatting is afkomstig van Malwarebytes, dat net als veel andere beveiligingsbedrijven een analyse heeft gepubliceerd van Bad Rabbit. De code zou veel elementen bevatten die ook voorkomen in de NotPetya-variant, hoewel volgens Intezer slechts 13 procent van de code daadwerkelijk overeenkomt. De kernel uit NotPetya, die was overgenomen van de oorspronkelijke Petya-ransomware, zou vervangen zijn door een legitieme driver. Malwarebytes schrijft: "Het lijkt erop dat de auteurs een poging hebben gedaan om hun vorige fouten te verbeteren en onafgemaakte zaken te beëindigen." Tot nu toe zijn er slechts voorlopige analyses van de nieuwe variant, waardoor het trekken van harde conclusies moeilijk is.

Er zijn belangrijke verschillen tussen Bad Rabbit en NotPetya. Van NotPetya bleek later dat deze bedoeld was om zo veel mogelijk schade aan te richten. Een van de verschillen is dat Bad Rabbit binnenkomt door middel van een zogenaamde drive by-download, waarbij een overgenomen site kwaadaardige code probeert te installeren. In het huidige geval gebeurde dat via JavaScript waarmee een valse Flash-update werd aangeboden. ESET meldt dat 65 procent van de websites met de kwaadaardige JavaScript-code in Rusland voorkomt. In iets meer dan 12 procent van de gevallen gaat het om Oekraïne, dat op de tweede plaats staat. Daarop volgen Bulgarije, Turkije en Japan. NotPetya verspreidde zich door middel van een geïnfecteerde update van Oekraïense boekhoudsoftware.

Bad Rabbit drive-by

Is de malware eenmaal aanwezig op een systeem, dan vindt encryptie plaats. Volgens Kaspersky maakt Bad Rabbit daarbij gebruik van DiskCryptor, een module die ook werd gebruikt bij de ransomwareaanval op openbaarvervoerbedrijven in San Francisco. Een opvallend detail is dat daarbij taken worden uitgevoerd die de naam dragen van de drie draken in de populaire serie Game of Thrones. Bad Rabbit probeert zich net als NotPetya verder via het netwerk te verspreiden, maar maakt daarbij niet gebruik van de NSA-exploit EternalBlue, die een lek in SMB misbruikt. In plaats daarvan past de ransomware een lijst met gebruikersnamen en wachtwoorden toe om zich via SMB te verspreiden. Volgens Talos gebruikt de malware ook een versie van Mimikatz voor het infecteren van andere systemen op het netwerk, net als NotPetya.

Bad Rabbit-paginaBij die malware was decryptie bovendien niet mogelijk, wat bij Bad Rabbit wel lijkt te kunnen. Geïnfecteerde gebruikers worden naar een Tor-pagina gestuurd, waar ze 0,05 bitcoin, omgerekend ongeveer 235 euro, moeten overmaken naar een gegenereerd bitcoinadres. Daardoor is niet eenvoudig bij te houden hoeveel bitcoins er naar de aanvallers worden verstuurd.

Volgens een waarschuwing van het Oekraïense Cert trof Bad Rabbit onder meer de metro van Kiev en de luchthaven van Odessa. In Rusland werden bijvoorbeeld het persbureau Interfax en de krant Fontanka getroffen. Hoeveel systemen in totaal getroffen zijn, is vooralsnog niet duidelijk. Onderzoeker Amit Serper vond net als de Nederlandse onderzoeker Rick van Duijn een manier om encryptie te voorkomen.

Bad Rabbit infectieBad Rabbit-infectieproces, volgens Trend Micro.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 25-10-2017 10:39
16 • submitter: Anonymoussaurus

25-10-2017 • 10:39

16

Submitter: Anonymoussaurus

Lees meer

Verzekeraar moet 1,4 miljard dollar vergoeden in belangrijke ransomwarezaak
Verzekeraar moet 1,4 miljard dollar vergoeden in belangrijke ransomwarezaak Nieuws van 5 mei 2023
EU legt sancties op aan personen en instanties achter OPCW-aanval en NotPetya
EU legt sancties op aan personen en instanties achter OPCW-aanval en NotPetya Nieuws van 30 juli 2020
Britse regering zegt dat Rusland achter de NotPetya-aanvallen zat
Britse regering zegt dat Rusland achter de NotPetya-aanvallen zat Nieuws van 15 februari 2018
Lek in Tor-browser maakte ip zichtbaar op macOS en Linux
Lek in Tor-browser maakte ip zichtbaar op macOS en Linux Nieuws van 5 november 2017
'Voor BadRabbit-ransomwareaanval gebruikte servers zijn alweer offline'
'Voor BadRabbit-ransomwareaanval gebruikte servers zijn alweer offline' Nieuws van 26 oktober 2017
Aanval met NotPetya-malware kost Maersk tot 256 miljoen euro
Aanval met NotPetya-malware kost Maersk tot 256 miljoen euro Nieuws van 16 augustus 2017
'Door NotPetya getroffen systeem is onder voorwaarden handmatig te ontsleutelen'
'Door NotPetya getroffen systeem is onder voorwaarden handmatig te ontsleutelen' Nieuws van 10 juli 2017
Duitsland waarschuwt bedrijven voor grotere schade NotPetya vanwege backdoor
Duitsland waarschuwt bedrijven voor grotere schade NotPetya vanwege backdoor Nieuws van 7 juli 2017
Oekraïense politie neemt servers in beslag van bedrijf dat NotPetya verspreidde
Oekraïense politie neemt servers in beslag van bedrijf dat NotPetya verspreidde Nieuws van 5 juli 2017
Onderzoekers vinden backdoor in updates van bedrijf dat NotPetya verspreidde
Onderzoekers vinden backdoor in updates van bedrijf dat NotPetya verspreidde Nieuws van 4 juli 2017
Geheime dienst Oekraïne: Rusland waarschijnlijk verantwoordelijk voor NotPetya
Geheime dienst Oekraïne: Rusland waarschijnlijk verantwoordelijk voor NotPetya Nieuws van 1 juli 2017
Beveiligingsbedrijf ziet link tussen NotPetya en eerdere aanvallen in Oekraïne
Beveiligingsbedrijf ziet link tussen NotPetya en eerdere aanvallen in Oekraïne Nieuws van 30 juni 2017
Microsoft: Petya-variant trof minder dan 20.000 systemen
Microsoft: Petya-variant trof minder dan 20.000 systemen Nieuws van 30 juni 2017
Grote ransomwareaanval treft organisaties meerdere landen - update
Grote ransomwareaanval treft organisaties meerdere landen - update Nieuws van 27 juni 2017
Meer producten en artikelen
Netwerk en systeembeheer Ransomware Security

Reacties (16)

-Moderatie-faq
16
16
8
2
0
7
Wijzig sortering

Sorteer op:

Weergave:
Mit-46 25 oktober 2017 10:46
Is er meer bekend over hoe je dit binnenhaalt en wat er nodig is om jouw computer er tegen te beveiligen?

**Edit:
Ik had het linkje gemist. _/-\o_

[Reactie gewijzigd door Mit-46 op 23 juli 2024 08:22]

SunnieNL @Mit-4625 oktober 2017 10:58
het komt binnen door zich voor te doen als een flash update. De popup wordt veroorzaakt door reclame banners. Gebruikers klikken het aan en geven het administrator rechten bij uitvoeren (basicly omdat Flash Updates daar altijd om vragen)

Dus simpel te blokkeren:
* blokkeer de executable en DAT file met een willekeurig programma die dit kan (applocker bijvoorbeeld)
* klik gewoon niet op elke popup die je te zien krijgt :)

[Reactie gewijzigd door SunnieNL op 23 juli 2024 08:22]

GekkePrutser @SunnieNL25 oktober 2017 11:22
De popup wordt veroorzaakt door reclame banners. Gebruikers klikken het aan en geven het administrator rechten bij uitvoeren (basicly omdat Flash Updates daar altijd om vragen)
Des te meer reden om een adblocker te gebruiken dus. Er zouden ook juridische stappen genomen moeten worden tegen de ad netwerken die dit soort shit doorlaten.

Ik block nu echt alles en doe niet meer aan whitelisting. Als een site er om vraagt en ze bieden geen abonnement o.i.d. dan hebben ze gewoon pech. De gegevens van je bezoekers verkopen (en mogelijk malware verspreiden) is gewoon geen acceptabel betaalmodel.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 08:22]

Anonymoussaurus
@Mit-4625 oktober 2017 10:51
Sowieso SMB-1 uitzetten op de servers en clients. Je zou als beheerder in de task sequence meteen kunnen instellen dat hij SMB-1 uitzet, zodat nieuwe systemen niet geïnfecteerd raken. De bestaande systemen kan je een update geven door middel van een package bijvoorbeeld, die SMB-1 uitzet.

De ransomware wordt op de volgende manieren verspreid door het netwerk:
  • de EternalBlue exploit;
  • door middel van Mimikatz gestolen beheerders wachtwoorden;
  • Gegokte, standaard wachtwoorden.
Bron: https://www.dearbytes.com/alerts/badrabbit/

Wat je kunt doen staat hier uitgelegd:
Wat kunt u doen?

Zorg dat anti-virus software up-to-date is en ingeschakeld om via cloud controles de laatste malware te kunnen herkennen.

Om onbekende varianten te blokkeren, is het tevens raadzaam de malware op gedrag te herkennen. Door de volgende bestanden aan te maken op het systeem en schrijftoegang daartoe te blokkeren, kan verspreiding worden voorkomen:

%windir%\infpubdat
%windir%\dispci.exe
Permissions: everyone deny
Als u niet in staat bent om op alle computers in het netwerk deze bestanden aan te maken, kunt u wellicht uw Endpoint Protection software hiervoor gebruiken. Het DearBytes Research Team heeft een access protection rule voor McAfee Endpoint Protection ontwikkeld en getest die de verspreiding van #BadRabbit effectief blokkeert:


In zijn algemeenheid wordt ransomware vooral verspreid via e-mail of malafide weblocaties. Wees dus altijd voorzichtig bij het openen van dergelijke informatie: controleer de afkomst goed.

Op het moment staat het nog niet vast dat betaling van losgeld leidt tot herstel van bestanden. In zijn algemeenheid, maar dus zeker ook in dit geval adviseert DearBytes niet om losgeld te betalen. Zorg voor goede backups en herstelprocedure om voorbereid te zijn voor een eventueel herstel naar aanleiding van een ransomware incident.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 08:22]

Verwijderd @Anonymoussaurus25 oktober 2017 11:23
Even los van dat SMB1 uitzetten natuurlijk zeker verstandig is:
Waar maak jij uit op dat er een relatie is tussen deze malware en SMB1?
Anonymoussaurus
@Verwijderd25 oktober 2017 11:29
Zoals je in m'n quote kunt zien, staat daar dat de ransomware zich verspreidt via het EternalBlue-lek. Het EternalBlue lek maakt gebruik van SMB-1. Bron: https://en.wikipedia.org/wiki/EternalBlue
EternalBlue exploits a vulnerability in Microsoft's implementation of the Server Message Block (SMB) protocol. This vulnerability is denoted by entry CVE-2017-0144 in the Common Vulnerabilities and Exposures (CVE) catalog. The vulnerability exists because the SMB version 1 (SMBv1) server in various versions of Microsoft Windows mishandles specially crafted packets from remote attackers, allowing them to execute arbitrary code on the target computer.
Verwijderd @Anonymoussaurus25 oktober 2017 11:34
Interessant. In het Tweakers artikel staat:
Bad Rabbit probeert zich net als NotPetya verder via het netwerk te verspreiden, maar maakt daarbij niet gebruik van de NSA-exploit EternalBlue, die een lek in SMB misbruikt.
Maar goed: zorgen dat SMB1 uit kan is zeker een goede stap; zolang er echter nog geen 100% duidelijkheid is zou ik vooralsnog me niet veilig voelen alleen maar omdat SMB1 uit staat.
deacs @Verwijderd25 oktober 2017 12:07
Als ik goed begrijp wordt de EternalBlue (RCE) exploit niet gebruikt, maar SMB wordt wel gebruikt om netwerk bestanden te benaderen. Bad Rabbit gebruikt vervolgens Mimikatz om credentials te achterhalen om zo toegang te verkrijgen. Het uitzetten van SMB1 zorgt er dus in elk geval voor dat Bad Rabbit niet kan verspreiden via het netwerk.
Verwijderd @deacs25 oktober 2017 12:49
Het uitzetten van SMB1 zorgt er dus in elk geval voor dat Bad Rabbit niet kan verspreiden via het netwerk.
Het uitzetten van SMB1 zorgt er alleen maar voor dat deze (antieke) implementatie van SMB niet gebruikt kan worden. Aangezien sinds Vista/Server 2008 SMB 2.0 alweer de standaard is, en we tegenwoordig op 3.1.1 zitten biedt uitzetten van SMB1 voor dit probleem alleen maar schijnveiligheid.

Volledig uitschakelen van SMB zal in de meeste omgevingen nog steeds geen optie zijn; fileshares zijn zeker in Windows omgevingen in veel gevallen nog steeds de norm.
deacs @Verwijderd25 oktober 2017 14:29
Dat is een goed punt, het maakt niet uit welke versie van SMB er gebruikt wordt aangezien er gewoon geauthenticeerd wordt met default/gegokte credentials of credentials die achterhaald zijn met mimikatz.

Als SMB volledig uitschakelen geen optie is, is het uitvoeren van de oplossing in AnonymousWP zijn quote de beste manier om te voorkomen dat deze versie van ransomware kan verspreiden.

Een langetermijnoplossing tegen de verspreiding van toekomstige versies van ransomware die ook SMB + mimikatz gebruiken (en wat sowieso wel een goed is voor Windows gebruikers), zou zijn om Windows tegen mimikatz te beschermen.
TheOmen @Mit-4625 oktober 2017 10:54
Anders lees je het bericht even goed door....
Een van de verschillen is dat Bad Rabbit binnenkomt door middel van een zogenaamde drive by-download, waarbij een overgenomen site kwaadaardige code probeert te installeren. In het huidige geval gebeurde dat via javascript waarmee een valse Flash-update werd aangeboden.
Onderzoeker Amit Serper vond net als de Nederlandse onderzoeker Rick van Duijn een manier om encryptie te voorkomen.
makkie88 25 oktober 2017 11:04
Het volgende commando hebben wij gebruikt op de werksations, Hierin worden Read-only bestanden aangemaakt in C:\windows,
Dit zijn bestanden die ook door het virus aangemaakt zouden worden, hierdoor kan het virus (als deze gedownload zou worden) niet gestart worden:

[code]
@echo off
echo Badrabbit vaccin vaccination file > C:\Windows\infpub.dat
echo Badrabbit vaccin vaccination file > C:\Windows\cscc.dat
echo Badrabbit vaccin vaccination file > C:\Windows\dispci.exe
attrib +R C:\Windows\infpub.dat
attrib +R C:\Windows\cscc.dat
attrib +R C:\Windows\dispci.exe
[/code]


Vraag: zou het toevoegen van allen het "readonly" kenmerk genoeg zijn? of is het verwijderen an overige permissions ook belangrijk

[Reactie gewijzigd door makkie88 op 23 juli 2024 08:22]

Anonymoussaurus
@makkie8825 oktober 2017 11:16
Waarom niet gewoon een everyone deny op die 3 bestanden?

Dat is ook wat er wordt aangeraden door de Nederlandse onderzoekers van DearBytes:
https://www.dearbytes.com/alerts/badrabbit/

Zie ook hier:
https://twitter.com/0xAmit/status/922911491694694401

Gewoon het zekere voor het onzekere nemen en al die permissies eruit knallen.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 08:22]

makkie88 @Anonymoussaurus25 oktober 2017 11:29
tnx! in dat geval; of kan er nog een Deny aan toegevoegd worden? ( zo ja; hoe voor verschillende users)

[code]
echo Badrabbit vaccin vaccination file > C:\Windows\infpub.dat
echo Badrabbit vaccin vaccination file > C:\Windows\cscc.dat
echo Badrabbit vaccin vaccination file > C:\Windows\dispci.exe
icacls "C:\Windows\infpub.dat" /inheritance:R
icacls "C:\Windows\cscc.dat" /inheritance:R
icacls "C:\Windows\dispci.exe" /inheritance:R

[/code]

[Reactie gewijzigd door makkie88 op 23 juli 2024 08:22]

Anonymoussaurus
@makkie8825 oktober 2017 11:35
Als het goed is wel :p. Je zou het hier even kunnen nakijken: https://ss64.com/nt/icacls.html
joelharkes 25 oktober 2017 10:47
begrijp ik nu goed uit de laatste afbeelding dat admin rechten alleen verkregen werden door middel van een dictionary attack en dat anders de malware niet verder kon of is dat alleen nodig voor 'drop copy in network?'

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq