Bad Rabbit ransomware uitbraak

Gepubliceerd op: 25-10-2017
Bad Rabbit ransomware uitbraak

Op dinsdag 24 oktober is er een uitbraak van nieuwe ransomware gedetecteerd, nu bekend als Bad Rabbit. Deze ransomware infecteert systemen om daarna belangrijke documenten te gijzelen ruil voor bitcoins. De aanval lijkt erg op de WannaCry en Petya uitbraak eerder dit jaar.

Voor zover nu bekend lijkt de methode van verspreiding anders te zijn dan bij WannaCry/Petya. De initiële infectie vindt plaats door een zogenaamde drive-by aanval. Bij een dergelijke aanval wordt geprobeerd om via een legitieme website malware te installeren op het systeem door misbruik te maken van kwetsbaarheden in de browser en of plug-ins. In dit specifieke geval wordt een valse installer voor een update van Adobe Flash gebruikt.

Nadat infectie heeft plaatsgevonden probeert de malware zich verder te nestelen in de infrastructuur van het slachtoffer. Hiervoor worden zo ver nu bekend twee methodes gebruikt.
1.    De credentials (gebruikersnaam en wachtwoord) van de betreffende gebruiker worden hergebruikt.
2.    Er wordt middels een gebruikersnaam en wachtwoordlijst geprobeerd in te loggen op andere systemen. De malware probeert om in te loggen met veelgebruikte wachtwoorden.

Het Motiv Security Operations Center heeft de uitbraak nauwlettend gevolgd, onderzocht en waar nodig direct preventieve maatregelen genomen binnen onze dienstverlening. Via deze security mailing willen we onze klanten informeren over de acties die Motiv heeft genomen en geadviseerd. Motiv blijft de uitbraak volgen en neemt direct maatregelen waar nodig binnen haar dienstverlening.

Betrokken systemen

De nieuwe ransomware lijkt zich voor zover nu bekend is te richten op Microsoft Windows systemen. Bij de initiële infectie wordt de gebruiker verleid om een valse update van Adobe Flash te installeren, waarna de malware actief wordt en zich verder over de infrastructuur van het slachtoffer probeert uit te breiden.

Deze zogenaamde lateral movement wordt uitgevoerd door gebruik te maken van de credentials van de geïnfecteerde gebruiker of zwakke wachtwoorden. Dit kan ertoe leiden dat binnen zeer korte tijd de gehele infrastructuur geïnfecteerd is met de nieuwe ransomware.

Advies

Er zijn verschillende adviezen die opgevolgd kunnen worden om infectie te voorkomen of schade te beperken.
1.    Informeer uw gebruikers en maak ze bewust van de risico’s bij het installeren van nieuwe software en/of updates die ongevraagd worden aangeboden.
2.    Forceer het gebruik van sterke wachtwoorden om te voorkomen dat eenvoudige wachtwoorden gebruikt worden die potentieel geautomatiseerd gebruikt kunnen worden door de malware. 
3.    Maak gebruik van het least privilege principe, waardoor gebruikers enkel rechten hebben die vereist zijn voor het uitvoeren van hun werkzaamheden. Zorg ervoor dat gebruikers geen ‘admin’ rechten hebben, dit voorkomt installatie van software en daarmee de installatie van de ransomware.
4.    Maak waar mogelijk gebruik van 2-factor authenticatie, dit zorgt ervoor dat verspreiding binnen de infrastructuur wordt beperkt of voorkomen.
5.    Installeer de laatste signatures op uw Intrusion Prevention Systeem en/of EndPoint Security oplossing en zet deze signatures op ‘block’ mode.

De verschillende diensten die Motiv levert aan haar klanten zijn voorzien van de laatste maatregelen om infectie te voorkomen. Heeft u vragen over deze bescherming, neem dan contact op met ons Security Operations Center.

Wanneer aanvullende informatie over deze uitbraak bekend is delen we die zo spoedig mogelijk  via onze website https://www.motiv.nl. Houdt onze website dan ook goed in de gaten. 

Bron

Kaspersky:  https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/ 
SecureList:  https://securelist.com/bad-rabbit-ransomware/82851/ 

Neem contact op met

Erik Delfgaauw 314x

Erik Delfgaauw

Product Manager

Next Generation Firewall | Veilig Telewerken | Sterke Authenticatie

+31 30 6877 007

Neem contact op per e-mail