Ransomware Bad Rabbit

Bad Rabbit là loại Ransomware mới, lần đầu tiên được phát hiện vào ngày 24 tháng 10 năm 2017. Ngay sau khi vừa được công bố, Bad Rabbit ngay lập tức đứng top những mã độc hại nhất trong năm, chỉ xếp sau WannaCry và NotPetya. Theo đó, những công ty bảo mật hàng đầu như Kasperky và Eset đều tìm được những mối liên quan giữa Bad Rabbit và NotPetya với ExPetr.

Cách thức xâm nhập và hậu quả :

Bad Rabbit xâm nhập vào hệ thống bằng cách giả dạng bộ cài đặt Adobe Flash giả mạo, malware được kích hoạt khi chạy tệp EXE cài đặt fake này.

• Malware này sẽ bao gồm các file :Dropper (install_flash_player.exe)
• Main payload DLL (infpub.dat)
• Ransomware component (dispci.exe)
• Mimikatz for x86 and x64
• Legitimate DiskCryptor drivers for x86 and x64 (C:\Windows\cscc.dat)

Sau khi được thực thi, ransoware sẽ triển khai module chính vào thư mục C :\ Windows, mã hóa tất cả các file thành một đuôi cụ thể, sau đó để lại dòng cảnh báo tương tự như ransomware Petya/NotPetya. Cần lưu ý Malware này phải được chạy với quyền Administration.

Bad Rabbit có cơ chế lây lan ngang hàng, sử dụng giao thức SMB với một danh sách username và password đã được mã hóa để lan truyền. Tuy nhiên, không giống như NotPetya, nó không dùng EternalBlue và lây lan rộng hơn.

Những máy tính bị dính mã độc, sẽ bị chuyển hướng đến một domain “.onion”, tại đây người dùng bị yêu cầu phải trả .05 Bitcoin hoặc $276 USD để giải mã dữ liệu của họ. Một bảng thời gian đếm ngược cũng xuất hiện trên Website này, nếu hết khoảng thời gian này thì giá tiền sẽ tiếp tục tăng lên.

Những nhóm đối tượng nào chịu ảnh hưởng của Ransomeware Bad Rabbit này nhất ?

Theo nghiên cứu của Kaspersky, thì đây là cuộc tấn công vào hệ thống mạng của các tập đoàn, một số hãng truyền thông tin tức của Nga đã bị ảnh hưởng, ví dụ như hãng tin Interflax. Ở Ukraine, hệ thống giao thông công cộng của Kiev cũng ghi nhận báo cáo tấn công, sân bay Odessa dường như cũng bị ảnh hưởng.

Ngoài ra, một số tổ chức ở Hoa Kỳ, Thổ Nhĩ Kỳ, Đức và nhiều quốc gia khác cũng bị ảnh hưởng. Ransomware được dự đoán sẽ còn gây khó dễ với nhiều nơi khác trên thế giới.

Các phương pháp ngăn ngừa có thể được thực hiện để phòng tránh Bad Rabbit :

Block thực thi các file c: \ windows \ infpub.dat và c: \ Windows \ cscc.dat

Nếu không sử dụng, hãy tắt dịch vụ WMI ( Windows Management Instrumentation ), để phòng ngừa Ransomeware lây lan qua mạng.

Nếu sử dụng Proxy, hãy lọc các request đến/đi từ các domain đã bị nhiễm malware.

Microsoft đã phát hành một bản tư vấn bảo mật mang ID : 1102 và 106, hãng cũng cho quét offline trên các hệ thống để ngăn chặn ransomware. Qúa trình Scan sẽ được thực hiện khi hệ thống reboot.

Một số Tip phòng tránh ransomware :

• Để tránh Ransomware Bad Rabbit và những loại mã độc mã hóa file khác, hãy đảm bảo rằng trong tất cả các phương án bảo mật của bạn đều tuân theo những nguyên tắc đơn giản sau :Chắc chắn rằng tất cả phần mềm đều được cập nhật đầy đủ.
• Sử dụng các công cụ lọc để theo dõi và chặn ngay các nguồn xấu.
• Cập nhật các chương trình antivirus mới nhất.
• Sử dụng IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) với những rule mới nhất.
• Thường xuyên backup data.
• Kiểm tra tất cả email có đính kèm trước khi mở chúng.
• Không bao giờ nhấp vào các URL khả nghi.
• Cài các Plugin cho trình duyệt để chặn pop-up và JavaScript.
• Thường xuyên quét máy tính cũng như cập nhật các bản vá cho hệ điều hành.

Mặc dù những phương pháp này không thể ngăn chặn hoàn toàn được ransomware, nhưng nó cũng giúp tạo thêm một lớp bảo vệ cho hệ thống của bạn.

anninhmang