Nieuws
Terug naar overzicht

Nieuwe Ransomware aanval 'Bad Rabbit'

26 oktober 2017

Bad Rabbit is een Ransomware variant die op het moment van schrijven zich vooral op Oost-Europa richt. De aanval is niet zo wijd verspreid als de Petya/NotPetya aanval maar vertoond wel overeenkomsten.

De malware doet zich voor als een Adobe Flash update. Eenmaal binnen het netwerk gaat de malware op zoek naar andere systemen waarbij credentials gezocht worden via het Mimikatz tool en default wachtwoorden. Net als Petya/NotPetya versleuteld deze de gehele disk en wordt losgeld gevraagd. Onbekend is of betalen van het gevraagde bedrag succesvol is voor het herstel.

Volgens ESET is de initiële aanval via de Adobe Flash update die wordt aangeboden vanaf gecompromitteerde websites en niet van Adobe zelf maar bijvoorbeeld 1dnscontrol[.]com.

Bad Rabbit is (nog) niet zo wijd verspreid als de aanval met Petya/NotPetya van enkele maanden geleden en heeft minder slachtoffers gemaakt. Ze vertonen overeenkomsten maar het is andere malware.

Bescherming

ESET klanten zijn beschermd.

Palo Alto Networks klanten zijn beschermd via:

  • WildFire klassificeerd alle samples als malware.
  • AutoFocus houdt de aanval in de gaten via de Bad Rabbit tag.
  • Threat Prevention stopt malicious payloads en DNS C2 activiteiten: Threat IDs 3088946 en 3022680, en Virus/Win32.WGeneric.nkrca” en “Virus/Win32.WGeneric.nkquc” signatures.
  • URL Filtering stopt alle bekende kwaadaardige URLs.
  • Traps gebruikt zijn multi-method aanpak om malware te stoppen op de Endpoints en ook via integrarie met Threat Analysis en WildFire.

Let daarnaast op of de getoonde update daadwerkelijk van de fabrikant afkomstig is, in dit geval Adobe.

Update 26 oktober 12.30 uur.

De servers die gebruikt zijn voor de verspreiding van Bad Rabbit zijn offline waardoor de verspreiding van de ransomware via de servers is gestopt. Dit melden onderzoekers van een aantal beveiligingsbedrijven waaronder FireEye en ESET.

Wilt u advies of heeft u ondersteuning nodig? Neem dan vrijblijvend contact met ons op.