В атаках Bad Rabbit использовался модифицированный эксплоит АНБ
Стали известны новые подробности о вымогательском ПО Bad Rabbit, использовавшемся в ходе недавних атак на ряд организаций в России и Украине. По словам исследователей безопасности из Cisco Talos и F-Secure для более быстрого распространения Bad Rabbit использовалась модифицированная версия эксплоита EternalRomance, похищенного у группы Equation Group, подозреваемой в связях с Агентством национальной безопасности США.
Первым вымогательским ПО, использовавшим эксплоит EternalBlue из арсенала АНБ, стал шифровальщик WannaCry. Позднее эксплоиты EternalBlue и EternalRomance использовались для распространения вымогателя NotPetya, атаковавшего в июне 2017 года украинские энергетические, телекоммуникационные и финансовые компании.
В случае Bad Rabbit изначально эксперты сообщали, что хакеры использовали утилиту Mimikatz, позволяющую извлекать учетные данные из памяти в открытом виде, и с помощью списка логинов/паролей получали доступ к общим папкам SMB в целевой сети. Как заявили исследователи из Cisco Talos, после углубленного анализа кода шифровальщика им удалось обнаружить свидетельства наличия эксплоита EternalRomance, также распространяемого с помощью протокола SMB. Поскольку данная реализация являлась модифицированной версией, большинству исследователей и автоматизированным системам сканирования не удалось обнаружить эксплоит сразу.
Напомним, ранее в ходе анализа исследователям удалось выявить , что за атаками Bad Rabbit и эпидемией вымогательского ПО NotPetya может стоять одна и та же группа хакеров.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш