Bad Rabbit atakuje komputery

Jak to często bywa, atakujący nazwali go dowcipnie Bad Rabbit (Zły Królik).’

Natomiast eksperci do spraw cyberbezpieczeństwa ustalili, że chodzi o nową wersję złośliwego oprogramowania NotPetya. Trzy miesiące wcześniej sparaliżowało ono mnóstwo komputerów na świecie, powodując szkody szacowane na miliardy dolarów.

Czym jest Ransomware?

Przypomnijmy, iż ransomware to zbitka angielskich słów ransom (okup) i software (oprogramowanie). W ten sposób określa się program, który blokuje dostęp do systemu komputerowego lub nie pozwala na odczyt zapisanych w nim danych (niejednokrotnie z użyciem technik szyfrujących), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Oprogramowanie ransomware należy do grupy malware (programy złośliwe). Najprostsze typy takich programów typu ransomware zakładają tylko na system blokadę, stosunkowo łatwą do zlikwidowania dla doświadczonych użytkowników. Natomiast bardziej zaawansowane formy obejmują również technikę zwaną kryptowirusowym wymuszeniem. Szyfrują one pliki w systemie ofiary, uniemożliwiając ich odczyt. Hakerzy żądają zatem okupu za odszyfrowanie danych. Prawidłowo powinniśmy mówić o oprogramowaniu wymuszającym okup lub oprogramowaniu szantażującym, jednak powszechnie funkcjonuje termin ransomware.

Jeżeli chodzi o Złego Królika, uderzył on między innymi w rosyjskie agencje prasowe Interfax i Fontanka, ukraińskie Ministerstwo Infrastruktury, kijowskie metro, a także lotnisko w Odessie. Jak podkreślali obserwatorzy, wśród ofiar dominowały instytucje rosyjskie, jednak ukraińskie były bardziej spektakularne. Uważano zatem, że hakerzy nie lubią Rosjan i Ukraińców. Z drugiej strony, panuje niemal powszechne przekonanie, że atak nastąpił właśnie z Rosji.

Eksperci o Bad Rabbit

Zdaniem ekspertów Bad Rabbit to nowa wersja programu NotPetya, a atak przeprowadzili również Rosjanie. Różnica polega na tym, że w przypadku Królika hakerzy popełnili błędy i pliki dało się odszyfrowywać. Po wnikliwych analizach stwierdzono, iż mniej więcej jedna ósma kodu źródłowego jest taka sama jak w NotPetyi. Część specjalistów przypomniała, że autorzy tego ostatniego programu należą do grupy TeleBots. Pikanterii sprawie dodają pogłoski, że ma ona być wspierana przez rosyjski rząd.

Tak czy inaczej, Ukraińcy twierdzą, iż nie mogło być mowy o globalnym ataku cybernetycznym. Zwracają również uwagę na niefrasobliwość wielu użytkowników sieci. Służba Bezpieczeństwa Ukrainy bowiem już kilkanaście dni wcześniej (12 października) informowała o możliwych działaniach hakerów skierowanych przeciwko podmiotom zarówno państwowym, jak i prywatnym. Jednak niewiele osób zwróciło na to wtedy uwagę.

Jak zostać zaatakowanym?

Jak się okazało, użytkownicy instalują sobie Bad Rabbita, otwierając złośliwy plik .exe, który uruchamia aplikację ransomware. Następnie to szkodliwe oprogramowanie wykrada poświadczenia użytkownika w systemie operacyjnym Windows (nazwa użytkownika i hasła) i szyfruje pliki. Natomiast w przeciwieństwie do wielu innych znanych programów tego typu, złośliwy Królik nie zmienia nazw plików, które szyfruje.

Po przejęciu kontroli nad stacją roboczą, Bad Rabbit szyfruje pliki o różnych rozszerzeniach. Łącznie jest ich kilkadziesiąt typów, w tym najpopularniejsze, takie jak doc, jpg, pdf, rar, xls i tak dalej. Następnie podmienia MBR (Master Boot Record – główny rekord rozruchowy) na twardym dysku komputera ofiary i restartuje go. W rezultacie, z powodu wspomnianej podmiany MBR, ofiara zamiast swojego systemu widzi komunikat domagający się okupu, niemal identyczny jak wyświetlany kiedyś przez NotPetyę: Oops! Your file have been encrypted (…).

Po zdarzeniu hakerzy żądali płatności w wysokości 0,05 bitoina, czyli wówczas około 280 dolarów. Gdyby wierzyć komunikatom pojawiającym się na przejętych komputerach, jeśli w ciągu 40 godzin wpłata nie zostanie dokonana, cena ta miała rosnąć. Tyle że eksperci na całym świecie w zasadzie powszechnie odradzali płacenie okupu. Posługiwali się przy tym dwoma tradycyjnymi argumentami. Po pierwsze, nie ma żadnej gwarancji, iż atakujący są ludźmi honoru i dane zostaną przywrócone. Poza tym, płacenie hakerom tylko zachęca ich do dalszych ataków.

Istnieje tylko jedna metoda ochrony przed Bad Rabbitem i jest ona taka sama jak w przypadku każdego ransomware’u. Należy tworzyć kopie bezpieczeństwa ważnych plików na nośnikach, na których dane te nie mogą zostać nadpisane przez użytkownika.

Jak pisaliśmy na stronie marken.com.pl trzy lata temu, czyli kilka miesięcy po ataku Bad Rabbita, przede wszystkim trzeba zadbać o podstawy. Są one koniecznością dla tych, którzy wyznaczając sobie cel, skutecznie dążą do jego realizacji. Tak samo jest w przypadku organizacji bezpieczeństwa. Zarządzanie tożsamością, ciągłe wynajdywanie luk bezpieczeństwa, monitorowanie pracy systemu, konfiguracja czy zabezpieczenia chmury mają duże znaczenie w zakresie ochrony plików.

Obrona przed złośliwym oprogramowaniem tego typu

Kilka podstawowych kroków do zapewnienia ochrony przed atakami może zapewnić bezpieczeństwo naszych danych. Warto zastosować się do tych rad, ponieważ rosnąca liczba wirusów to bardzo duże prawdopodobieństwo pojawienia się problemu związanego z wyciekiem bądź utratą naszych, jakże cennych, danych, sugerował Mariusz Politowicz, inżynier techniczny w firmie Bitdefender. I radził, by czytelnicy byli gotowi na kolejne ataki ransomeware’u.