Infrastructuur achter BadRabbit-ransomware sinds 2016 actief
De infrastructuur die afgelopen dinsdag werd gebruikt om de BadRabbit-ransomware te verspreiden was al sinds 2016 actief, zo stelt de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma van securitybedrijf RiskIQ. Bij de aanval maakten de aanvallers gebruik van een groot aantal gehackte websites.
Deze websites toonden een pop-up aan bezoekers dat ze een update voor Adobe Flash Player moesten installeren. In werkelijkheid ging het om een variant van de Petya-ransomware die bestanden op de harde schijf versleutelde en het Master Boot Record van de harde schijf overschreef. Daardoor kan het besturingssysteem niet meer worden gestart. Verder probeert BadRabbit via een lijst van veelgebruikte wachtwoorden en het onderscheppen van inloggegevens zich via SMB verder op het netwerk te verspreiden.
Op de gehackte websites was code geplaatst die naar een injectieserver wees die de kwaadaardige pop-up op de websites toonde. Eén van deze injectieservers was vorig jaar september al voor het eerst waargenomen. Daarnaast blijkt dat verschillende gehackte websites al sinds vorig jaar gecompromitteerd waren. RiskIQ telde 63 gehackte websites waar de aanvallers toegang toe hadden. Het securitybedrijf stelt dat het echter om meer websites kan gaan.
"De groep achter de BadRabbit-ransomware is al geruime tijd actief", aldus Klijnsma. De onderzoeker spreekt over een langlopende campagne die mogelijk voor iets anders dan BadRabbit werd opgezet. "Hoewel de BadRabbit-ransomware gloednieuw is, kunnen we de distributievector naar begin 2016 traceren, wat laat zien dat slachtoffers al veel eerder waren gecompromitteerd voordat de ransomware toesloeg en de nieuwscyclus begon. De campagne kan oorspronkelijk zelfs voor iets anders dan BadRabbit zijn opgezet." Securitybedrijf Symantec stelt dat 86 procent van de infecties zich in Rusland voordeed en het voornamelijk om bedrijven gaat.
Het kan dus ook anders. En kom niet aanzetten met dat wisten we al, want snel, hyperig, niet gecontroleerd, onbewezen samenhang van een breed verspreid onderwerp is geen waarheid. Het onderzoek waar dit artikel over gaat staat hier: https://www.riskiq.com/blog/labs/badrabbit/
Slechts 63 websites gebruikt voor verspreiding van malware. Dagelijks zijn er duizenden websites waarmee criminelen malware verspreiden voor later gebruikt.
Ongerichte aanval. Als taal of land van een besmette website gericht zou zijn dan valt voor alle besmettingen via meer haarden wel een common identifier te vinden om het gericht te noemen.
Een paar duizend besmettingen. Dagelijks zijn er wereldwijd per campagne duizenden besmettingen te tellen.
Gebruikt bekende kwetsbaarheden en tools. Waar veel campagnes zich van bedienen.
Ook infrastructuur en overheid besmet. Geen campagne met deze kenmerken waar die niet geraakt kunnen worden.
De correcte vraag is dan: waarom zou je een brede infrastructuur waar je een paar jaar aan gebouwd hebt prijs geven met een ransomwarebesmetting?
Misschien kan die vraag beantwoord worden door eens te kijken naar de simpelheid waarop die 63 websites te compromiteren waren en bleven, blijkbaar al maanden opvielen voor niets noemenswaardigs en de simpele wijze van poging tot besmetting. Er wordt constant gesproken over een groep, maar alles wijst op een situatie waar met gemak slechts een persoon verantwoordelijk voor kan zijn.
Maar ja, zo lang er nog CDNs in de States zijn, die WordPress draaien met af te voeren script code, zonder security headers en net dat level security draaien waar ze nog net mee weg denken te komen, maar wel de volle "pot" voor rekenen bij de klant, zit er nog veel meer ellende in de pijplijn aan te komen. Daar kun je je code-boek wel op naslaan.
En dan al die sites nog, die verkeerd of te open staand geconfigureerd zijn, Diegenen, die zoiets in de lucht tilt of houdt, zou vervolgd moeten worden. Nu willen we er alleen maar geld aan verdienen, door deze incompetente hap door te laten ploeteren.
Gaat toch goed zo, denkt Google, facebook, M$ en consorten, en alles wat hiermee "hand in foot" wil leven.
Edoch - wij als eindgebruiker zijn de klos. De rest loopt ruimschoots binnen en de dommerds en onbenullen blijven zo de groot-graaiers faciliteren ten koste van een heleboel cybercrime ellende. Het onverklaarbare circus dendert zo door!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.