By | October 27, 2017

מומחי אבטחה דיווחו כי בניגוד דוחות הראשונית שלהם, ממנפת Bad Rabbit ransomware לנצל המקושר ל ארה ב נבחרת אבטחה סוכנות (NSA).

באופן זהה המגב NotPetya זדוני, Bad Rabbit ransomware גם משתמש בפרוטוקול בלוק הודעת שרת (SMB) להתפשט בתוך הרשת פרוץ. עם זאת, החוקרים נהגו לחשוב כי בניגוד NotPetya, ארנב רע לא השתמש לא את EternalBlue ולא את EternalRomance לנצל. ובכל זאת, עכשיו המומחים מאשרים כי בזמן Bad Rabbit ransomware אינו משתמש EternalBlue, זה בעצם ממנף את EternalRomance כדי להפיץ ברשת.

Microsoft התייחס EternalRomance הפגיעות ב- 2017/03, השנה, שחרור עלון אבטחה אשר גם שתוקנה מעלליו EternalChampion, EternalBlue, EternalSynergy.

קבוצת האקרים צל תיווך לציבורי כמה פרטים של ליקויים אלה בחודש אפריל השנה. הקבוצה טוענת כי שהשיגו אלה ומנצל רבים אחרים מהסוכנות לבטחון לאומי כי הם שימשו ע י אחת מהקבוצות של הסוכנות הידוע בשם הקבוצה משוואה.

זמן קצר לאחר הפגמים לציבורית, מיקרוסופט הודיעה כי הם כבר נקבע, אשר הציע כי התאגיד נמסר על הפגיעויות על ידי הסוכנות עצמה.

לפי הבדיקה הראשונית, היו קשרים רבים בין ארנב רע, NotPetya, כולל את המטרות שלהם – אוקראינה ורוסיה, הקבצים הבינאריים שנחתם עם אישורים שפג תוקפם, שימוש Mimikatz תופס האישורים, אתחול מחדש, התמדה ויה משימות מתוזמנות, הסרת יומני אירועים של USN לשנות יומנים, כמו גם את אותו סוג של הצפנת קבצים ופונקציונליות ransomware.

עם זאת, ההבדל המשמעותי ביותר בין ארנב רע NotPetya היא העובדה ארנב רע הופך להיות ransomware אמיתי, שניתן יהיה לשחזר קבצים המשתמשים לאחר משלם את הכופר. בעוד NotPetya סווגה כמו מגב בשל העובדה כי הפונקציונליות תשלום הכופר אינה מיושמת כהלכה מה שהופך את שחזור קבצים בלתי אפשרי.

עוד הבדל בין האיומים שני היא העובדה כי ארנב רע מושפע בעיקר מפעלים, במיוחד ברוסיה. למרות זאת, רבים של הקורבנות באוקראינה היו ארגונים בעלי פרופיל גבוה.

המגב NotPetya נקשר האיום הרוסי המכונה BlackEnergy, TeleBots, צוות Sandworm, רומז כי באותה כנופיה סייבר עשוי להיות מאחורי הארנב רע התקפות גם כן.

על פי הניתוח של התשתית ארנב רע, כמה קבוצות המחשבים שנפרצו ששימשו להתקפה סידרה מאז ב יולי לפחות, בעוד חלק השרתים הזרקת נצפו יותר מאשר לפני שנה.

Leave a Reply

Your email address will not be published. Required fields are marked *