4

Już wszystko jasne. Bad Rabbit to nowy, niebezpieczniejszy Petya

Mimo początkowych doniesień na temat ogromnych podobieństw między najnowszym ransomware, a dobrze znanym Petya nikt raczej nie podejmował się jednoznacznych osądów względem tego, kto w ogóle stworzył "złego królika". Teraz jest już wszystko jasne. Bad Rabbit, jak się okazuje został stworzony prawdopodobnie przez tą samą grupę, albo części kody Petya zostały sprzedane i wykorzystane w Bad Rabbit.

Analiza kodu źródłowego obydwu zagrożeń wskazuje na to, że obydwa ransomware dzielą między sobą ogromne porcje instrukcji. Badacze z Bitdefendera, Cisco Talos, ESET, Kaspersky Labs oraz Malwarebytes opublikowali raporty dotyczące możliwych podobieństw między złośliwymi programami. Wnioski są jednoznaczne – są to wręcz lustrzane względem siebie zagrożenia i wiele wskazuje na to, że części kodu zostały przepisane i działają w bardzo podobny sposób. Czy wiadomo dokładnie, kto stoi za Bad Rabbit? Warto wiedzieć o tym, że w czerwcu, ESET wiązał Petya z grupą TeleBots, która w latach 2015 oraz 2016 atakowała infrastrukturę energetyczną Ukrainy. Znając kontekst polityczny oraz charakterystykę działania grupy można domniemywać, że TeleBots to grupa działająca na zlecenie rosyjskich służb. Dziwnie złożyło się, że ataki na Ukrainę powiązane z formacją rozpoczęły się tuż po inwazji rosyjskich wojsk na teren Ukrainy.

bad rabbit

Dlaczego zatem za pomocą Bad Rabbit zaatakowano również cele w Rosji?

Bardzo możliwe, że grupa TeleBots chciała w ten sposób „ukryć” możliwy związek Rosjan z atakami ransomware, albo po prostu… ten kraj oberwał rykoszetem. Trudno jest zahamować rozprzestrzenianie się takiego wirusa komputerowego i precyzyjne jego wycelowanie jest właściwie niemożliwe. Dlatego też sporo infrastruktur informatycznych właśnie w Rosji padło ofiarą Bad Rabbit. Jednak nikt nie ma złudzeń, że Ukraina nie jest najważniejszym celem najnowszego ransomware. Co gorsza, nikt nie powiedział, że cele poza wschodem Europy są bezpieczne.

Istnieje jeszcze jedna hipoteza co do tego, dlaczego grupa TeleBots prowadzi takie, a nie inne działania w cyberprzestrzeni. Według ekspertów, bardzo możliwe jest to, że takie wirusy rozsiewa się wcale nie po to, aby zbierać pieniądze od ofiar ataków lecz po to, by… ukryć dowody wcześniejszych naruszeń bezpieczeństwa infrastruktur. Choć my tego nie widzimy, w sieci trwa bezpardonowa wojna cybernetyczna, w której skład wchodzą m. in. takie incydenty jak Petya, Bad Rabbit, czy WannaCrypt, ale również kampanie polegające na umieszczaniu w sieci fake news.

Na obydwu tych stylach prowadzenia walk cierpimy my wszyscy – po pierwsze konsumując kompletnie zmyślone, dezinformujące treści medialne i po drugie – tracąc nasze dane w przypadku zarażenia. O ile wygląda na to, że konsumenckie maszyny nie są celem Bad Rabbit, warto przyjrzeć się bliżej swojemu bezpieczeństwu i po pierwsze – aktualizować maszyny i po drugie… w byle co nie klikać. Tylko tyle i aż tyle.

  • YY

    A ja tam właśnie przesiadłem się z Safari na Yandexa – rosyjskie służby specjalnie mają dostęp do moich danych, ale przynajmniej strony internetowe ładują mi się poprawnie :P

  • doogopis

    „ale również kampanie polegające na umieszczaniu w sieci fake news.”
    Które przypadkiem też wyszły od ruskich. A organy ścigania jakoś nie są bliskie złapania odpowiedzialnych.
    „zaatakowano również cele w Rosji” no tak,ale zależy jakie cele. I dlaczego niby hakerzy opłacani przez służby mieli by opory przed atakiem na cele w kraju? Nie wiemy kogo interesy reprezentują. Potem przypadkiem złapią winnego, ten sie w celi przypadkiem powiesi i bedzie sprawa załatwiona! https://uploads.disquscdn.com/images/886b6dd9e671e5a5d2c449c9b192ae0a47febf4f0b3d6ceeef1f51401e7fb70e.jpg

  • gom1

    Nowy Petya? IMHO nie. Każdy z robaków wykorzystuje inną podatność do infekowania komputerów (Petya – 0-day z NSA, Bad Rabbit – „lewy” Flash + SMB w sieciach lokalnych). Chyba, że chodzi o autorów.

    Swoją drogą, jak piszą na Sekuraku:

    Pierwsza ciekawostka, jest taka, że ukraińska służba bezpieczeństwa wiedziała o planowanym wypuszczeniu malware już tydzień temu. Wydali nawet ostrzeżenie

    A przypomnę, że ledwo dwa tygodnie temu Antoni mówił o odpartym ataku cybernetycznym na Polskę. Przypadek? Nie sądzę.

  • Morski Morświn

    Mam robaka. Owsika. Penetruje moje łącze.