今年已經(jīng)發(fā)生了兩起大規(guī)模的勒索軟件攻擊事件——臭名昭著的WannaCry和ExPetr(也稱作Petya和NotPetya)??ò退够鶎嶒炇胰涨鞍l(fā)現(xiàn)了第三波攻擊正在蔓延:一種名為壞兔子(Bad Rabbit)的新惡意軟件。根據(jù)勒索信中鏈接的暗網(wǎng)顯示,這就是該勒索軟件的名字。卡巴斯基實驗室專家會不斷挖掘并持續(xù)更新這一惡意軟件的新細節(jié)。
卡巴斯基實驗室目前發(fā)現(xiàn),俄羅斯一些大型媒體機構(gòu)已經(jīng)遭受壞兔子勒索軟件感染,Interfax通訊社和 Fontanka.ru已確認是該惡意軟件的受害者。Odessa國際機場也匯報了一起信息系統(tǒng)網(wǎng)絡(luò)襲擊事件,但是否屬于同一攻擊還尚不明確。
發(fā)起壞兔子攻擊的網(wǎng)絡(luò)罪犯索要0.05比特幣贖金,根據(jù)目前兌換率大約是280美元。
根據(jù)卡巴斯基實驗室專家的發(fā)現(xiàn),本次攻擊并沒有使用漏洞利用程序。而是一種路過式攻擊:受害人從受感染網(wǎng)站下載假冒的Adobe Flash安裝程序,手動啟動.exe文件后就會感染病毒。我們的研究人員已經(jīng)檢測到一系列危險網(wǎng)站,全部是新聞或媒體網(wǎng)站。
被壞兔子加密的文件能否恢復(fù)(支付贖金或利用勒索軟件代碼的一些漏洞)目前尚不清楚。卡巴斯基實驗室反病毒專家正在對攻擊進行調(diào)查,我們會隨時更新發(fā)現(xiàn)結(jié)果。
根據(jù)卡巴斯基實驗室掌握的數(shù)據(jù),本次攻擊的受害人大多在俄羅斯。烏克蘭、土耳其和德國也發(fā)現(xiàn)了少量類似攻擊。該勒索軟件會通過一系列黑客入侵的俄羅斯媒體網(wǎng)站使設(shè)備受到感染。根據(jù)調(diào)查,這是一次針對企業(yè)網(wǎng)絡(luò)的選擇性攻擊,所用方法類似于ExPetr攻擊。然而我們無法確定是否與ExPetr有關(guān)??ò退够鶎嶒炇覍⒗^續(xù)展開調(diào)查。
卡巴斯基實驗室產(chǎn)品已經(jīng)可以查殺壞兔子(Bad Rabbit),并將該攻擊檢測為UDS:DangerousObject.Multi.Generic (由卡巴斯基安全網(wǎng)絡(luò)檢測到)和PDM:Trojan.Win32.Generic(由系統(tǒng)監(jiān)視檢測到)以及Trojan-Ransom.Win32.Gen.ftl。