4

Już wszystko jasne. Bad Rabbit to nowy, niebezpieczniejszy Petya

Mimo początkowych doniesień na temat ogromnych podobieństw między najnowszym ransomware, a dobrze znanym Petya nikt raczej nie podejmował się jednoznacznych osądów względem tego, kto w ogóle stworzył "złego królika". Teraz jest już wszystko jasne. Bad Rabbit, jak się okazuje został stworzony prawdopodobnie przez tą samą grupę, albo części kody Petya zostały sprzedane i wykorzystane w Bad Rabbit.

Analiza kodu źródłowego obydwu zagrożeń wskazuje na to, że obydwa ransomware dzielą między sobą ogromne porcje instrukcji. Badacze z Bitdefendera, Cisco Talos, ESET, Kaspersky Labs oraz Malwarebytes opublikowali raporty dotyczące możliwych podobieństw między złośliwymi programami. Wnioski są jednoznaczne – są to wręcz lustrzane względem siebie zagrożenia i wiele wskazuje na to, że części kodu zostały przepisane i działają w bardzo podobny sposób. Czy wiadomo dokładnie, kto stoi za Bad Rabbit? Warto wiedzieć o tym, że w czerwcu, ESET wiązał Petya z grupą TeleBots, która w latach 2015 oraz 2016 atakowała infrastrukturę energetyczną Ukrainy. Znając kontekst polityczny oraz charakterystykę działania grupy można domniemywać, że TeleBots to grupa działająca na zlecenie rosyjskich służb. Dziwnie złożyło się, że ataki na Ukrainę powiązane z formacją rozpoczęły się tuż po inwazji rosyjskich wojsk na teren Ukrainy.

bad rabbit

Dlaczego zatem za pomocą Bad Rabbit zaatakowano również cele w Rosji?

Bardzo możliwe, że grupa TeleBots chciała w ten sposób „ukryć” możliwy związek Rosjan z atakami ransomware, albo po prostu… ten kraj oberwał rykoszetem. Trudno jest zahamować rozprzestrzenianie się takiego wirusa komputerowego i precyzyjne jego wycelowanie jest właściwie niemożliwe. Dlatego też sporo infrastruktur informatycznych właśnie w Rosji padło ofiarą Bad Rabbit. Jednak nikt nie ma złudzeń, że Ukraina nie jest najważniejszym celem najnowszego ransomware. Co gorsza, nikt nie powiedział, że cele poza wschodem Europy są bezpieczne.

Istnieje jeszcze jedna hipoteza co do tego, dlaczego grupa TeleBots prowadzi takie, a nie inne działania w cyberprzestrzeni. Według ekspertów, bardzo możliwe jest to, że takie wirusy rozsiewa się wcale nie po to, aby zbierać pieniądze od ofiar ataków lecz po to, by… ukryć dowody wcześniejszych naruszeń bezpieczeństwa infrastruktur. Choć my tego nie widzimy, w sieci trwa bezpardonowa wojna cybernetyczna, w której skład wchodzą m. in. takie incydenty jak Petya, Bad Rabbit, czy WannaCrypt, ale również kampanie polegające na umieszczaniu w sieci fake news.

Na obydwu tych stylach prowadzenia walk cierpimy my wszyscy – po pierwsze konsumując kompletnie zmyślone, dezinformujące treści medialne i po drugie – tracąc nasze dane w przypadku zarażenia. O ile wygląda na to, że konsumenckie maszyny nie są celem Bad Rabbit, warto przyjrzeć się bliżej swojemu bezpieczeństwu i po pierwsze – aktualizować maszyny i po drugie… w byle co nie klikać. Tylko tyle i aż tyle.