Bad Rabbit: Not-Petya mit verbesserter Ransomware zurück

Eine neue Ransomware-Welle hat die Ukraine getroffen. Die Cyberattacke richtete sich hauptsächlich gegen den U-Bahn-Betrieb in Kiew sowie etliche Regierungsbehörden. Von der Ransomware kompromittierte Computer sind durch die Verschlüsselung nicht mehr zu bedienen. In diesem Beitrag gehen wir auf ein paar technische Details der Cyberattacke Bad Rabbit ein.

Drive-by-Download auf populären Webseiten durch Watering Hole Cyberattacke

Eine Verbreitungsmethode von Bad Rabbit ist der Drive-by-Download. Einige häufig besuchte Webseiten wurden kompromittiert, um ein JavaScript in den HTML-Body oder in eine der .js Dateien einzupflanzen.

Hier ist eine Version der JavaScript Injection:

Dieses Script kommuniziert mit der IP-Adresse 185.149.120[.]3, welche momentan nicht zu antworten scheint. Übersendet werden folgende Daten:

  • Browser User-Agent
  • Referrer
  • Cookie der besuchten Seite
  • Domain Name der besuchten Seite

Die serverseitige Logik bestimmt darauf hin, ob ein Besucher von Interesse ist und ob der schädliche Inhalt ausgegeben werden soll. In diesem Fall taucht auf dem Bildschirm des ausgewählten Opfers ein Hinweis auf, den Flash Player zu aktualisieren.

Mit dem Klicken auf den „Install“-Button beginnt ein Download einer ausführbaren Datei von 1dnscontrol[.]com. Die ausführbare Datei install_flash_player.exe ist der Dropper für Win32/Diskcoder.D.

Letztendlich wird der Computer verschlüsselt und die folgende Erpresser-Nachricht erscheint auf dem Display:

Die Lösegeldforderung:

Verteilung via SMB

Win32/Diskcoder.D kann sich über Server Message Blocks (SMBs) verteilen. Im Gegensatz zu anderen Meinungen, nutzt die Malware nicht die EternalBlue Schwachstelle aus, wie Win32/Diskcoder.C (Not-Petya).
Zunächst wird das interne Netzwerk nach einem offenen SMB Share durchsucht, wie beispielsweise:

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spoolss
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

Auf dem kompromittierten Computer wird Mimikatz gestartet, um Windows-Anmeldeinformationen zu stehlen. Darüber hinaus bringt die Malware eine Reihe von Usernamen und Passwörtern mit.

UsernamesPasswords
AdministratorAdministrator
Adminadministrator
GuestGuest
Userguest
User1User
user-1user
TestAdmin
rootadminTest
buhtest
bossroot
ftp123
rdp1234
rdpuser12345
rdpadmin123456
manager1234567
support12345678
work123456789
other user1234567890
operatorAdministrator123
backupadministrator123
asusGuest123
ftpuserguest123
ftpadminUser123
nasuser123
nasuserAdmin123
nasadminadmin123Test123
superusertest123
netguestpassword
alex111111
55555
77777
777
qwe
qwe123
qwe321
qwer
qwert
qwerty
qwerty123
zxc
zxc123
zxc321
zxcv
uiop
123321
321
love
secret
sex
god

Nach dem Finden richtiger Anmeldeinformationen wird die infpub.dat Datei in das Windows-Verzeichnis kopiert und mit Hilfe des SCManager und via rundll.exe ausgeführt.

Verschlüsselung

Win32/Diskcoder.D ist eine modifizierte Version von Win32/Diskcoder.C. Bugs in der Dateiverschlüsselung wurden behoben. Nun basiert die Verschlüsselung auf DiskCryptor – einer legitimen Open Source Verschlüsselungssoftware, welche normalerweise ganze Festplatten verschlüsselt. Verschlüsselungsschlüssel werden von Zuhilfenahme von CryptGenRandom erstellt und dann durch einen hardcodierten RSA 2048 Schlüssel geschützt. Wie vorher findet auch AES-128-CBC Anwendung.

Verbreitung der Bad Rabbit Ransomware

Interessanterweise ergeben die ESET Telemetrie-Daten, dass die ukrainischen Accounts diesmal nicht am meisten betroffen waren. Hier ist die Statistik:

  • Russia: 65%
  • Ukraine: 12.2%
  • Bulgaria: 10.2%
  • Turkey: 6.4%
  • Japan: 3.8%
  • Other: 2.4%

Die Zahlen spiegeln insgesamt in etwa auch die Verteilung der mit dem JavaScript kompromittierten Webseiten wider.

Zu guter Letzt möchten wir noch anmerken, dass alle Behörden und Unternehmen zur selben Zeit getroffen wurden. Dieser Umstand lässt uns vermuten, dass die Cyberkriminellen bereits einen Fuß in den Netzwerken hatten und die Watering Hole Cyberattacke nur per Knopfdruck starten mussten. Wir können nicht mit Sicherheit sagen, wer auf das „Flash-Update“ hereingefallen ist. ESET untersucht die Bad Rabbit Ransomware Cyberattacke nach wie vor. Wenn sich Neuigkeiten ergeben, werden sie hier veröffentlicht.

Samples

SHA-1FilenameESET Detection nameDescription
79116fe99f2b421c52ef64097f0f39b815b20907infpub.datWin32/Diskcoder.DDiskcoder
afeee8b4acff87bc469a6f0364a81ae5d60a2adddispci.exeWin32/Diskcoder.DLockscreen
413eba3973a15c1a6429d9f170f3e8287f98c21cWin32/RiskWare.Mimikatz.XMimikatz (32-bits)
16605a4a29a101208457c47ebfde788487be788dWin64/Riskware.Mimikatz.XMimikatz (64-bits)
de5c8d858e6e41da715dca1c019df0bfb92d32c0install_flash_player.exeWin32/Diskcoder.DDropper
4f61e154230a64902ae035434690bf2b96b4e018page-main.jsJS/Agent.NWCJavaScript on compromised sites

C&C Server

Zahlung des Lösegelds: http://caforssztxqzf2nm[.]onion

Inject URL: http://185.149.120[.]3/scholargoogle/

Verbreitungs-URL: hxxp://1dnscontrol[.]com/flash_install.php

Liste der kompromittierten Webseiten:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

Autor , ESET

  • Maha Rashtrian

    The file name is infpub.dat and not infopub.dat as it is mentioned in the table.

    • Marc-Etienne M.Léveillé

      That’s fixed. thanks!

  • Harpreet Bassi

    Is there away of signing up for RSS ?

  • Nicola Ornaghi

    I’ll be asking the dumb question: does this mean that ESET is detecting and fixing this, therefore as long as I am up-to-date with definitions, I am fine?

  • Andrew Hewson

    Isn’t it time we could simply post information like this directly to social media like face book?. Most of the techies I work with have FB open all the time and are more likely to read this there than in an e-mail alert or link.

    • Some WeLiveSecurity articles, including this one, are linked from https://www.facebook.com/eset/. I can’t think of a convincing reason for posting articles _only_ to Facebook, though, and I wouldn’t personally consider Facebook a suitable or reliable venue for posting technical content directly, and while I do have access to a number of security-oriented pages, it certainly isn’t one of my primary resources for tech info. This is my opinion, of course: I’m not speaking for ESET. Nor do I speak for my colleagues, but I do know that several of them don’t have Facebook accounts.

    • WittZi

      You’re an idiot.

  • Ondrej Kubovic

    Multiple protective layers implemented in our solutions are designed to detect and block components of this malware in various stages of the attack. However, if you want prevent even the initial infection we would recommend you to keep the scanning engine up-to-date and use ESET LiveGrid(R).

    • Maha Rashtrian

      Question: Is your ESET LiveGrid(R) similar to the Kaspersky Security Network?

      • Hello,

        From what I’ve read, they appear to be similar. I’m not familiar enough with Kaspersky Security Network to tell you how it differs from ESET’s LiveGrid®, though.

        Regards,

        Aryeh Goretsky

        • Maha Rashtrian

          Interesting! Thanks.

  • chris

    Normally, WMI is subject to UAC-filtering. Is BadRabbit able to spread to another machine when it’s run by a local administrator (not domain user)?

Folgen Sie uns