Atacul cibernetic pe care cercetătorii din domeniu l-au botezat Bad Rabbit („Iepurele cel Rău”) este încadrat pe locul al treilea ca proporţii globale. Primele semne au apărut în octombrie 2017, iar ţintele predilecte au fost reţelele corporate, precum şi instituţii media din Rusia.
Legătura pe care experţii în securitate cibernetică au făcut-o între Bad Rabbit şi ExPetr a avut la bază faptul că noua ameninţare utiliza un exploit din gama „Eternal”, de această dată denumit, însă, EternalRomance. La distanţă de aproximativ doi ani de la atacul din 2017, virusul revine în forţă în vara acestui an, cu o altă „faţă”, afectând grav bazele de date ale unor instituţii de sănătate din România şi nu numai.
Programul fals Adobe Flash, asul din mâneca „iepurelui”
La momentul declanşării operaţiunii Bad Rabbit (24 octombrie 2017), numele atacului apare pe site-ul Darknet asociat cu mesajul de răscumpărare, iar experţii în securitate cibernetică susţin că suma cerută de către hackeri era de 0,05 bitcoin, echivalentul a aproximativ 280 de dolari, la vremea respectivă. Suma a crescut, ulterior, la 300 de dolari.
Întreg procesul de intruziune al atacatorilor avea în centru distribuirea către utilizatori a unui program fals Adobe Flash, pe care victimele îl descarcă pe propriile computere. Ulterior, utilizatorul lansează manual fişierul .exe al programului şi, automat, declanşează infectarea terminalului.
Citește și De Black Friday, infractorii cibernetici vizează clienţii site-urilor de comerţ electronic
În acest mod, Bad Rabbit a reuşit să infecteze mai multe instituţii media din Rusia, printre care agenţia de presă Interfax, principalul site de ştiri din Sankt-Petersburg, Fontanka.ru, dar şi firma de securitate Group-IB. În acelaşi timp, în Ucraina, a fost afectată funcţionarea sistemelor informatice ale Aeroportului Internaţional din Odesa, iar metroul din Kiev, atacat cibernetic, în iunie 2017, de NotPetya, preciza că nu acceptă plata cu carduri bancare, fără a vorbi însă despre vreo problemă de securitate.
Pe baza investigaţiei cercetătorilor Kaspersky, atacul era unul clar direcţionat împotriva reţelelor corporatiste, prin folosirea de metode similare celor întâlnite în atacul ExPetr. De altfel, o parte din codul folosit în Bad Rabbit a fost identificat anterior în ExPetr.
Alte asemănări cu ExPetr scoteau în evidenţă faptul că aceeaşi listă de domenii era utilizată pentru atac (unele dintre aceste domenii au fost sparte în iunie 2017, dar nu au fost utilizate), precum şi aceleaşi tehnici utilizate pentru a răspândi malware-ul în reţelele corporate. Ambele atacuri au apelat la Windows Management Instrumentation Command-line (WMIC) în acest scop. „Cu toate acestea, există o diferenţă: spre deosebire de ExPetr, Bad Rabbit nu foloseşte exploit-ul EternalBlue pentru a infecta, dar foloseşte EternalRomance pentru a se deplasa în reţeaua locală”, sunt de părere specialiştii.
Aceştia consideră că în spatele ExPetr şi BadRabbit se află acelaşi autor, dar spre deosebire de ExPetr, Bad Rabbit pare să nu fie un „wiper” (ştergător), ci un ransomware care criptează anumite tipuri de fişiere şi instalează un bootloader modificat, împiedicând astfel PC-ul să pornească normal.
„Deoarece nu este un wiper, este posibil ca autorii să aibă capacitatea de a decripta parola, care, la rândul său, este necesară pentru a decripta fişierele şi a permite computerului să pornească sistemul de operare. În cazul în care Bad Rabbit nu a criptat întregul disk este posibilă recuperarea fişierelor din copiile „shadow”, dacă acestea au fost activate înainte de atac”, notează Kaspersky.
Incursiunea lui Bad Rabbit din Europa până în Asia
În România, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) publică, la scurt timp după apariţia lui Bad Rabbit, rapoarte detaliate despre atac. Potrivit specialiştilor, în primă instanţă, infecţiile s-au concentrat pe zona estică a Europei şi în Rusia. În viziunea celor de la CERT-RO, virusul Bad Rabbit, odată intrat în staţia de lucru, încearcă răspândirea laterală în reţea şi înlocuieşte codul din zona MBR a discului de stocare cu o formă proprietară, ce afişează mesajul de răscumpărare (ransom note), după care reporneşte sistemul.
„Acest comportament aduce o caracteristica nouă faţă de alte versiuni de ransomware, în sensul că, adiţional criptării fişierelor, se blochează inclusiv accesul la sistemul infectat. Pentru criptarea datelor, malware-ul utilizează utilitarul legitim DiskCryptor”, considerau reprezentanţii CERT-RO.
Pe de altă parte, un raport întocmit de compania de securitate Cisco Talos, arăta că exploit-ul utilizat de ransomware pentru propagarea în reţeaua victimelor era EternalRomance, nu EternalBlue, ca în cazul ExPetr/NotPetya. Noua tehnică de propagare exploata vulnerabilităţile adresate în buletinul de securitate MS17-010 realizat de compania Microsoft, ce a fost utilizată şi în campania recentă NotPetya.
Totodată, cercetătorii companiei Eset au corelat campania NotPetya cu gruparea de spionaj cibernetic TeleBots, responsabilă pentru mai multe campanii APT (Advanced Persistant Threat) desfăşurate în ultimii ani, precum Sandworm, BlackEnergy, Electrum etc.
La trei zile după propagarea lui Bad Rabbit, mai multe surse din industria de profil, citate de CERT-RO, precizau că majoritatea serverelor implicate în campanie au fost stopate să răspândească malware.
Atacurile lui Bad Rabbit au afectat aproximativ 200 de organizaţii globale, iar din datele Eset reiese că distribuţia ameninţării aşeza Rusia pe primul loc – cu 65% din total, urmată de Ucraina (12,2%), Bulgaria (10,2%), Turcia (6,4%) şi Japonia (3,8%). La nivelul României, datele CERT-RO arătau că un număr de 48 de site-uri au fost descoperite ca fiind nelegitime şi redirecţionau utilizatorii către serverul prin intermediul căruia puteau descărca programul sau malware-ul de tip ransomware, cu probleme.
Bad Rabbit revine în 2019, în versiunea 4
După aproape doi ani de latenţă. Bad Rabbit iese din nou la rampă printr-un nou atac agresiv. În urma unei investigaţii derulate de către specialiştii în securitate cibernetică din cadrul CERT-RO, Cyberint şi Bitdefender, s-au constatat ameninţări responsabile de atacurile cibernetice asupra unor spitale din România.
Pe acest subiect, Serviciul Român de Informaţii (SRI) preciza, pe data de 20 iunie 2019, că existau patru unităţi medicale afectate de ransomware-ul Bad Rabbit 4, respectiv: ”Victor Babeş” din Capitală, precum şi unităţile medicale din Huşi, Dorohoi şi Alba. Iniţial, a fost anunţată ca fiind ţintă a unui atac cibernetic şi Spitalul din Cărbuneşti, dar SRI a revenit asupra informaţiei. Ulterior, autorităţile au transmis informaţia că un număr de cinci spitale din Bucureşti au fost victime ale lui Bad Rabbit, iar internările şi externările în aceste instituţii s-au făcut cu mare dificultate, în timp ce reţetele erau eliberate cu întârziere, deoarece procedurile trebuiau efectuate manual.
Datele ulterioare publicate de către reprezentanţii Centrului Naţional Cyberint al SRI au arătat că autorii atacurilor cibernetice asupra spitalelor din România ar fi de origine chineză, la baza acestei concluzii fiind orele la care hackerii au fost activi şi indiciile lăsate de către aceştia în mesajele de răscumpărare.
Şeful echipei de globale de cercetare şi analiză de la Kaspersky (GReAT), Costin Raiu, a explicat, pentru AGERPRES, că noua versiune a lui Bad Rabbit avea codul 4-4-4-4, iar în realitate ameninţarea se numeşte Golden Imposter.
„Golden Imposter este interesant, deoarece funcţionează ca o reţea de afiliere. Există o minte „criminală” care produce acest Golden Imposter şi ulterior îl vinde pe forumuri către o reţea de afiliere. Din reţeaua de afiliere fac parte mulţi membri. Noi am numărat în jur de vreo 12, care fiecare îşi lansează atacurile independent de ceilalţi către ţintele care i-ar interesa. La rândul lor, fiecare dintre afiliaţi încearcă să scoată cât mai mulţi bani de la victime şi, interesant, mintea „criminală” are o parte din profituri. În România, am observat câteva victime, nu foarte multe. Ideea este că atacurile nu se calmează niciodată, ci se întâmplă constant şi din când în când un atac e mai mare decât altele”, a spus Raiu.
Ransomwer-ul Bad Rabbit şi-a dovedit în decurs de numai doi ani capacitatea a se reinventa. În acelaşi timp, acesta a produs pagube semnificative pe toate nivelurile de activitate.
În final, răscumpărările solicitate victimelor reprezentau scopul suprem, pe care atacatorii au reuşit să-l atingă la un moment dat.
