Bad Rabbit: Not-Petya mit verbesserter Ransomware zurück

Bad Rabbit: Not-Petya mit verbesserter Ransomware zurück

Die Bad Rabbit Ransomware hat einige wichtige Infrastrukturen in der Ukraine erfasst - darunter auch die Metro Kiew. Details der Not-Petya Variante sind hier zu finden.

Die Bad Rabbit Ransomware hat einige wichtige Infrastrukturen in der Ukraine erfasst – darunter auch die Metro Kiew. Details der Not-Petya Variante sind hier zu finden.

Eine neue Ransomware-Welle hat die Ukraine getroffen. Die Cyberattacke richtete sich hauptsächlich gegen den U-Bahn-Betrieb in Kiew sowie etliche Regierungsbehörden. Von der Ransomware kompromittierte Computer sind durch die Verschlüsselung nicht mehr zu bedienen. In diesem Beitrag gehen wir auf ein paar technische Details der Cyberattacke Bad Rabbit ein.

Drive-by-Download auf populären Webseiten durch Watering Hole Cyberattacke

Eine Verbreitungsmethode von Bad Rabbit ist der Drive-by-Download. Einige häufig besuchte Webseiten wurden kompromittiert, um ein JavaScript in den HTML-Body oder in eine der .js Dateien einzupflanzen.

Hier ist eine Version der JavaScript Injection:

Dieses Script kommuniziert mit der IP-Adresse 185.149.120[.]3, welche momentan nicht zu antworten scheint. Übersendet werden folgende Daten:

  • Browser User-Agent
  • Referrer
  • Cookie der besuchten Seite
  • Domain Name der besuchten Seite

Die serverseitige Logik bestimmt darauf hin, ob ein Besucher von Interesse ist und ob der schädliche Inhalt ausgegeben werden soll. In diesem Fall taucht auf dem Bildschirm des ausgewählten Opfers ein Hinweis auf, den Flash Player zu aktualisieren.

Mit dem Klicken auf den „Install“-Button beginnt ein Download einer ausführbaren Datei von 1dnscontrol[.]com. Die ausführbare Datei install_flash_player.exe ist der Dropper für Win32/Diskcoder.D.

Letztendlich wird der Computer verschlüsselt und die folgende Erpresser-Nachricht erscheint auf dem Display:

Die Lösegeldforderung:

Verteilung via SMB

Win32/Diskcoder.D kann sich über Server Message Blocks (SMBs) verteilen. Im Gegensatz zu anderen Meinungen, nutzt die Malware nicht die EternalBlue Schwachstelle aus, wie Win32/Diskcoder.C (Not-Petya).
Zunächst wird das interne Netzwerk nach einem offenen SMB Share durchsucht, wie beispielsweise:

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spoolss
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

Auf dem kompromittierten Computer wird Mimikatz gestartet, um Windows-Anmeldeinformationen zu stehlen. Darüber hinaus bringt die Malware eine Reihe von Usernamen und Passwörtern mit.

UsernamesPasswords
AdministratorAdministrator
Adminadministrator
GuestGuest
Userguest
User1User
user-1user
TestAdmin
rootadminTest
buhtest
bossroot
ftp123
rdp1234
rdpuser12345
rdpadmin123456
manager1234567
support12345678
work123456789
other user1234567890
operatorAdministrator123
backupadministrator123
asusGuest123
ftpuserguest123
ftpadminUser123
nasuser123
nasuserAdmin123
nasadminadmin123Test123
superusertest123
netguestpassword
alex111111
55555
77777
777
qwe
qwe123
qwe321
qwer
qwert
qwerty
qwerty123
zxc
zxc123
zxc321
zxcv
uiop
123321
321
love
secret
sex
god

Nach dem Finden richtiger Anmeldeinformationen wird die infpub.dat Datei in das Windows-Verzeichnis kopiert und mit Hilfe des SCManager und via rundll.exe ausgeführt.

Verschlüsselung

Win32/Diskcoder.D ist eine modifizierte Version von Win32/Diskcoder.C. Bugs in der Dateiverschlüsselung wurden behoben. Nun basiert die Verschlüsselung auf DiskCryptor – einer legitimen Open Source Verschlüsselungssoftware, welche normalerweise ganze Festplatten verschlüsselt. Verschlüsselungsschlüssel werden von Zuhilfenahme von CryptGenRandom erstellt und dann durch einen hardcodierten RSA 2048 Schlüssel geschützt. Wie vorher findet auch AES-128-CBC Anwendung.

Verbreitung der Bad Rabbit Ransomware

Interessanterweise ergeben die ESET Telemetrie-Daten, dass die ukrainischen Accounts diesmal nicht am meisten betroffen waren. Hier ist die Statistik:

  • Russia: 65%
  • Ukraine: 12.2%
  • Bulgaria: 10.2%
  • Turkey: 6.4%
  • Japan: 3.8%
  • Other: 2.4%

Die Zahlen spiegeln insgesamt in etwa auch die Verteilung der mit dem JavaScript kompromittierten Webseiten wider.

Zu guter Letzt möchten wir noch anmerken, dass alle Behörden und Unternehmen zur selben Zeit getroffen wurden. Dieser Umstand lässt uns vermuten, dass die Cyberkriminellen bereits einen Fuß in den Netzwerken hatten und die Watering Hole Cyberattacke nur per Knopfdruck starten mussten. Wir können nicht mit Sicherheit sagen, wer auf das „Flash-Update“ hereingefallen ist. ESET untersucht die Bad Rabbit Ransomware Cyberattacke nach wie vor. Wenn sich Neuigkeiten ergeben, werden sie hier veröffentlicht.

Samples

SHA-1FilenameESET Detection nameDescription
79116fe99f2b421c52ef64097f0f39b815b20907infpub.datWin32/Diskcoder.DDiskcoder
afeee8b4acff87bc469a6f0364a81ae5d60a2adddispci.exeWin32/Diskcoder.DLockscreen
413eba3973a15c1a6429d9f170f3e8287f98c21cWin32/RiskWare.Mimikatz.XMimikatz (32-bits)
16605a4a29a101208457c47ebfde788487be788dWin64/Riskware.Mimikatz.XMimikatz (64-bits)
de5c8d858e6e41da715dca1c019df0bfb92d32c0install_flash_player.exeWin32/Diskcoder.DDropper
4f61e154230a64902ae035434690bf2b96b4e018page-main.jsJS/Agent.NWCJavaScript on compromised sites

C&C Server

Zahlung des Lösegelds: http://caforssztxqzf2nm[.]onion

Inject URL: http://185.149.120[.]3/scholargoogle/

Verbreitungs-URL: hxxp://1dnscontrol[.]com/flash_install.php

Liste der kompromittierten Webseiten:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

Hier können Sie mitdiskutieren