Mayday! Mayday! การระบาดของ ransomware ใหม่ได้เข้าโจมตีโครงสร้างพื้นฐานที่สำคัญของยูเครนและรัสเซียรวมถึงองค์กรการขนส่งหลายแห่งรวมถึงองค์กรภาครัฐหลายแห่งและดำเนินงานโดยใช้ชื่อว่า "Bad Rabbit"
ตามรายงานของสื่อคอมพิวเตอร์จำนวนมากได้รับการเข้ารหัสด้วยการโจมตีทางไซเบอร์นี้ แหล่งสาธารณะยืนยันว่าระบบคอมพิวเตอร์ของเคียฟเมโทรพร้อมกับสนามบินโอเดสซาตลอดจนองค์กรอื่น ๆ อีกมากมายจากรัสเซียได้รับผลกระทบ
มัลแวร์ที่ใช้ในการโจมตีทางไซเบอร์นี้คือ“ Disk Coder.D” - ตัวแปรใหม่ของ ransomware ที่นิยมใช้ชื่อ“ Petya” การโจมตีทางไซเบอร์ครั้งก่อนโดย Disk Coder ทำให้เกิดความเสียหายในระดับโลกในเดือนมิถุนายน 2017
ESET เกี่ยวกับ Bad Rabbit
ระบบตรวจสอบระยะไกลของ ESET ได้รายงานการเกิดขึ้นหลายครั้งของ Disk Coder อย่างไรก็ตามภายในรัสเซียและยูเครนมีการตรวจจับการโจมตีทางไซเบอร์ในคอมพิวเตอร์จากตุรกีบัลแกเรียและประเทศอื่น ๆ เช่นกัน
การวิเคราะห์ที่ครอบคลุมของมัลแวร์นี้กำลังดำเนินการโดยนักวิจัยด้านความปลอดภัยของ ESET จากการค้นพบเบื้องต้นของพวกเขา Disk Coder D ใช้เครื่องมือ Mimikatz เพื่อดึงข้อมูลรับรองจากระบบที่ได้รับผลกระทบ การค้นพบและการวิเคราะห์ของพวกเขากำลังดำเนินการอยู่และเราจะแจ้งให้คุณทราบทันทีที่มีการเปิดเผยรายละเอียดเพิ่มเติม
ระบบ telemetry ของ ESET ยังแจ้งด้วยว่ายูเครนมีสัดส่วนเพียง 12.2% จากจำนวนครั้งที่พวกเขาเห็นการแทรกซึมของ Bad Rabbit ต่อไปนี้เป็นสถิติที่เหลืออยู่:
- รัสเซีย: 65%
- ยูเครน: 12.2%
- บัลแกเรีย: 10.2%
- ตุรกี: 6.4%
- ญี่ปุ่น: 3.8%
- อื่น ๆ : 2.4%
การกระจายของประเทศดังกล่าวข้างต้นได้รับผลกระทบจาก Bad Rabbit น่าสนใจประเทศเหล่านี้ถูกโจมตีในเวลาเดียวกัน เป็นไปได้ค่อนข้างมากว่ากลุ่มนี้มีเครือข่ายขององค์กรที่ได้รับผลกระทบแล้ว
วิธีการ
วิธีการแจกจ่ายที่ใช้สำหรับ Bad Rabbit คือ“ ดาวน์โหลดจาก Drive” กล่าวง่ายๆคือการดาวน์โหลดผ่านไดรฟ์เป็นการดาวน์โหลดแบบผุดขึ้นบนเว็บไซต์หรืออีเมลโดยไม่ได้ตั้งใจ ในกรณีเหล่านี้“ ซัพพลายเออร์” อ้างว่าผู้ใช้“ ยินยอม” ต่อการดาวน์โหลดนั้นโดยเฉพาะแม้ว่าผู้ใช้จะไม่รู้ตัวเลยว่าได้เริ่มดาวน์โหลดซอฟต์แวร์ที่ไม่ต้องการหรือเป็นอันตราย
ในทำนองเดียวกันกับกรณี Bad Rabbit สิ่งที่เราเห็นมาจนถึงตอนนี้คือป๊อปอัปขอให้ดาวน์โหลด Adobe Flash Player รุ่นที่ปรับปรุงแล้วดังที่แสดงด้านล่าง
ทันทีที่มีคนกดปุ่มดาวน์โหลดไฟล์ที่ปฏิบัติการได้จะถูกดาวน์โหลด ไฟล์ที่สามารถใช้งานได้เช่น install_flash_player.exe เป็นไฟล์สำหรับ Bad Rabbit ในที่สุดคอมพิวเตอร์ล็อคลงและแสดงบันทึกค่าไถ่ดังนี้
นอกจากนี้หน้าการชำระเงินของ Bad Rabbit จะมีลักษณะเช่นนี้
ต่อไปนี้เป็นเว็บไซต์ที่ถูกบุกรุก
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // ใช้ crimearu
- hxxp: //www.t.ksua
- hxxp: // มากที่สุด dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
ตอนนี้คืออะไร
การโจมตีทางไซเบอร์ในทุกวันนี้ได้พัฒนาไปสู่หลาย ๆ ใบหน้า อินเทอร์เน็ตไม่ใช่ที่ที่ปลอดภัยอีกต่อไปซึ่งเป็นเหตุผลว่าทำไมจึงแนะนำให้ใช้ VPN ที่แท้จริง โดยเฉพาะอย่างยิ่งเมื่อเชื่อมต่อกับ Wi-Fi สาธารณะ
สร้างอุโมงค์ที่เข้ารหัสอย่างปลอดภัยระหว่างตัวคุณเองและอินเทอร์เน็ตกับผู้ให้บริการ VPN ชั้นนำของอุตสาหกรรม, Ivacy VPN และควบคุมการมีตัวตนออนไลน์ของคุณและปกป้องข้อมูลที่มีค่าของคุณ