כופרה בשם Badrabbit תוקפת ברוסיה ואוקראינה
תקיפות של כופרה בשם Badrabbit זוהו ברוסיה, אוקראינה, ובמידה פחותה גם בגרמניה וטורקיה. כך על פי הפרסומים עד כה, בין השאר הותקפו מערכות עיתונים ברוסיה, המטרו בקייב, גורמי ממשל ועוד. (www.gov.il). התקיפה זוהתה על ידי ESET.
ככל הנראה התקיפה אינה כוללת ניצול פגיעות אלא שיטוי במשתמש. גלישה לאתר חדשות לגיטימי נגוע (תקיפה מסוג Watering Hole) מעבירה את המשתמש לאתר הנשלט על ידי התוקפים שם ישנו עדכון מזויף לתוכנת Flash. הורדת והרצת העדכון המזויף מפעילה את הפוגען.
הפוגען מתפשט ברשת באמצעות חילוץ סיסמאות מהעמדה בעזרת Mimikatz, וכן עושה שימוש ברשימת שמות משתמש וסיסמאות מוגדרת מראש. ככל הנראה ההתפשטות מבוצעת באמצעות פרוטוקול SMB (ייתכן תוך ניצול הפגיעות Eternalblue) וכן אפשרי שמבוצעת גם תוך שימוש ב- WMI. ההצפנה מתבצעת באמצעות תוכנה לגיטימית בשם Diskcryptor.
על פי חברת intezer שביצעה ניתוח לקוד, מדובר בכלי תקיפה המבוסס בין היתר על קוד ממוחזר של NotPetya . הכלי מתחזה ליישום Adobe Flash Player ומכיל 27 אחוזים מהקוד של NotPetya - תוכנת כופר שתקפה בעבר הקרוב מליוני מחשבים בעולם.
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם