Cảnh báo: Bad Rabit ransomware mới nhất ẩn nấp dưới danh nghĩa Adobe Flash Player

v82aTqZ.png


Một biến thể ransomware mới, được gọi là Bad Rabbit, bắt đầu tấn công các tổ chức khắp Châu Âu trên diện rộng vài ngày qua. Phần mềm độc hại đang lây lan qua các trang web bị xâm nhập, được thể hiện như trình cập nhật và tải Adobe Flash Player. "Khi người dùng truy cập vào một trong những trang web bị xâm nhập, chúng đã được chuyển hướng tới 1dnscontrol [.] Com, trang web lưu trữ tệp tin độc hại", được quan sát thấy với địa chỉ IP tĩnh (185.149.120 [.] 3). Yêu cầu này đã được chỉ mục đến một đường dẫn "/ scholasgoogle" tĩnh và cung cấp cho người dùng tác nhân, trang web, cookie và tên miền của phiên. Sau khi yêu cầu POST các dropper đã được tải xuống từ hai con đường khác nhau từ 1dnscontrol [.] Com, /index.php và / flash_install.php. -Theo một bài viết trên blog của Talos, nhóm tình báo phòng chống các mối đe dọa của Cisco (Cisco's Talos Group).

Thật sự là đã có một số chiến dịch ransomware quy mô lớn trong thời gian qua. Khuynh hướng này dường như có một số điểm tương đồng với Nyetya vì nó cũng dựa trên công cụ Petya ransomware. Phần chính của mã code trông như đã được viết lại hoàn toàn mới. Sự phân bố dường như không có sự phức tạp của các cuộc tấn công chuỗi cung ứng mà chúng ta đã chứng kiến ​​gần đây.

Một khi hệ thống bị nhiễm ransomware, nạn nhân được điều hướng đến một trang web trên Dark Web, yêu cầu họ phải trả 0,05 bitcoin (khoảng $285 USD) tiền chuộc để khôi phục các tập tin trên hệ thống đã bị mã hóa bởi nhóm tin tặc.

k0v5t6M.jpg


Sau khi một máy tính trên mạng bị nhiễm, Bad Rabbit có thể nhanh chóng và âm thầm lây nhiễm toàn bộ hệ thống một tổ chức, công ty hoặc cá nhân, thông qua nhóm tội phạm có tổ chức mà không bị phát hiện. Có vẻ ransomware này dường như tập trung ở các tổ chức ở Nga và Ukraine, nhưng đã được báo cáo phát hiện ở một số quốc gia trên toàn Châu Âu và có nguy cơ lan rộng sang Châu Á, đặc biệt là trên các phương tiện thông tin đại chúng.

Các phần mềm độc hại sau đó sử dụng RunDLL32.exe để thực thi các phần mềm độc hại và tiếp tục các hoạt động tấn công. Các mã độc sau đó tạo ra một tác vụ theo lịch trình với các thông số được hiển thị trong ảnh chụp màn hình bên dưới:

image2.png


Phần mềm độc hại cũng tạo một tệp trên máy tính để bàn của người dùng bị nhiễm bệnh có tên là DECRYPT. Thực hiện các tập tin này hiển thị mức tiền chuộc cho nạn nhân.

image1.png

Hình minh họa dưới đây phản ánh hoạt động DNS liên quan đến một trong các lĩnh vực đang được sử dụng để phân phối bản cập nhật Adobe Flash giả mạo đã được sử dụng để thả phần mềm độc hại vào các hệ thống của nạn nhân.
Screen%2BShot%2B2017-10-24%2Bat%2B4.43.35%2BPM.png

vtnCwnA.jpg

Phần mềm độc hại này sẽ sửa đổi Master Boot Record (MBR) của ổ đĩa cứng hệ thống bị nhiễm để chuyển hướng quá trình khởi động vào mã phần mềm độc hại và mã hóa toàn bộ tập tin trong hệ thống, nhằm mục đích đòi một khoản tiền chuộc. Thông tin về tiền chuộc được hiển thị sau khi khởi động lại hệ thống và tương tự như các khoản tiền chuộc được hiển thị bởi các biến thể chu trình ransomware khác, cụ thể là Petya, mà Cisco's Talos Group đã quan sát thấy trong các cuộc tấn công đáng chú ý khác trong năm nay.

ZNj0Pau.png

Đây là trang thanh toán tiền chuộc dữ liệu của nạn nhân từ trang Tor trong Dark Web:

badrabbit_1.gif


# Nếu bạn nhìn thấy các thông báo đòi cập nhật Adobe Flash Player như hình bên dưới, thì chớ dại mà click vào và hãy nên cập nhật và cài đặt đúng, chính xác phiên bản mới nhất ở đúng trang chủ nhé !

iFeywuK.jpg


Tham khảo Cisco's Talos Group.
 
Sửa lần cuối:
  • Chủ đề
    adobe flash player bad rabit ransomware
  • Top