Ransomware Bad Rabbit là gì? Cách thức lây nhiễm

Phần mềm tống tiền Bad Rabbit là một trong những hình thức tấn công nguy hiểm sử dụng phần mềm độc hại. Vì vậy, làm thế nào nó hoạt động? Hãy cùng BKHOST tìm hiểu chi tiết qua bài viết dưới đây.

Phần mềm tống tiền Bad Rabbit là gì?

Bad Rabbit Ransomware là một phần mềm độc hại nhắm mục tiêu chính quyền thông qua Internet. Cụ thể, nó đã tấn công thành công hơn 200 tổ chức lớn trên thế giới trong năm 2017.

Bad Rabbit tiến hành lây nhiễm thông qua tấn công Drive-By. Trong đó, các trang web bị xâm nhập sẽ phát tán các bản cập nhật Adobe Flash giả mạo. Các bản cập nhật này sau đó sẽ mã hóa các tệp hệ thống bằng khóa RSA 2048 bit và yêu cầu 0,05 Bitcoin.

Ai đã tạo ra phần mềm tống tiền Bad Rabbit?

Bad Rabbit Ransomware là phần mềm độc hại chưa được xác định bởi bất kỳ nhóm đe dọa nào. Tuy nhiên, các nhà nghiên cứu đã tìm thấy bằng chứng về một nhóm có liên quan. Cụ thể, họ đã tìm thấy mã và danh sách các tên miền được sử dụng cho cuộc tấn công Drive-By gần giống với NotPetya, còn được gọi là ExPert hoặc Nyetya.

NotPetya được liên kết với BlackEnergy và Đội Sandworm thuộc một nhóm đe dọa nhắm mục tiêu nặng nề vào Nga. Do đó, một số nhà nghiên cứu cho rằng đằng sau Bad Rabbit Ransomware là một nhóm được chính phủ tài trợ nhắm vào các tổ chức truyền thông bất hợp pháp. Tuy nhiên, đây không phải là bằng chứng thuyết phục nên nó vẫn là một vấn đề đang được nghiên cứu kỹ hơn.

Những hệ thống nào dễ bị tấn công bởi Bad Rabbit?

Bad Rabbit Ransomware nhắm mục tiêu các phiên bản chưa được vá của Windows 7 trở lên. Thông thường, Ransomware sẽ không thực hiện bất kỳ khai thác nào do NSA triển khai. Thay vào đó, nó sử dụng khai thác EternalRomance CVE-2017-0145 để có thể vượt qua các lớp bảo mật của chia sẻ tệp Windows Server Message Block (SMB). Đồng thời, nó sẽ tiến hành thực thi mã hóa từ xa trên hệ thống Windows. Đó là cách khai thác tương tự bị rò rỉ bởi Shadow Brokers vào tháng 4 và được NotPetya sử dụng vào tháng 6.

Dòng thời gian khám phá Bad Rabbit

• Vào tháng 3 năm 2016, lần đầu tiên Petya được phát hiện.
• Tháng 4 năm 2017, Shadow Brokers EternalRomance bị rò rỉ.
• Vào tháng 6 năm 2017, NotPetya lần đầu tiên được phát hiện.
• Vào ngày 12 tháng 10, SBU Ukraine đã cảnh báo về một cuộc tấn công sắp xảy ra tương tự như NotPetya.
• Vào ngày 24 tháng 10 năm 2017, BadRabbit lần đầu tiên được phát hiện.

Bad Rabbit lây lan như thế nào?

Các vectơ tấn công ban đầu mà Bad Rabbit nhắm mục tiêu là các trang web truyền thông bị nhiễm. Sau đó, những kẻ tấn công tiến hành tải các trình cài đặt Adobe Flash Player giả mạo lên trang web đó. Nếu người dùng nhấp vào tải xuống và chạy, nó sẽ khởi chạy Bad Rabbit Ransomware.

Các trang web bị nhiễm được lưu trữ chuyển hướng đến điều khiển 1ds[.]com trong 6 giờ. Sau khi được chuyển hướng, một yêu cầu gửi bài đã được gửi đến 185.149.120[.]3. Yêu cầu này cung cấp cho kẻ tấn công dữ liệu người dùng quan trọng. Từ đó, Dropper được tải xuống từ hai nguồn: 1dnscontrol[.]com/index.php và /flash_install.php.

Khi người dùng chạy phần mềm độc hại Adobe Flash Player Executable, Bad Rabbit Ransomware sẽ quét SMB Share. Sau đó, kẻ tấn công sử dụng danh sách mã hóa cứng các thông tin đăng nhập của nạn nhân.

Một số công cụ khai thác Mimikatz cũng được sử dụng để thu thập thông tin quan trọng. Ngoài ra, nó khai thác WMIC để thực thi mã trên hệ thống Windows trên mạng. Bad Rabbit sử dụng triển khai EternalRomance để đọc và ghi dữ liệu trong không gian bộ nhớ Kernel và ghi đè lên Bảo mật phiên. Sau đó, nó sẽ sử dụng quyền truy cập bị đánh cắp để chạy mã hóa toàn bộ đĩa bằng DiskCryptor.

Sơ lược về Bad Rabbit Ransomware