रूस, यूक्रेन में 'बैडबैबिट' रैंसमवेयर टार्गेट सिस्टम

Anonim
BadRabbit हमले से रैंसमवेयर संदेश।

एक बड़ा रैंसमवेयर हमला रूस और यूक्रेन में कंप्यूटरों में फैल रहा है, जो अब तक सुरक्षा शोधकर्ताओं के अनुसार मीडिया आउटलेट और परिवहन प्रणाली को लक्षित करता है।

सुरक्षा फर्म ग्रुप-आईबी के अनुसार, मंगलवार को हमला शुरू हुआ और रूसी समाचार एजेंसी इंटरफेक्स में चार अन्य मीडिया आउटलेट्स पर कंप्यूटर संक्रमित हो गए।

# ब्रैडबिट # क्रिप्टोर ने रूस के कई प्रमुख मीडिया पर हमला किया। @interfax_news pic.twitter.com/5iLNs131Ml

- ग्रुप-आईबी (@GroupIB_GIB) 24 अक्टूबर, 2017

BadRabbit नामक रैंसमवेयर, कंप्यूटर की फ़ाइलों को एन्क्रिप्ट करता है और फिर पीड़ित को बिट टोरेंट में 0.05 या फिर $ 282 की फिरौती का भुगतान करने के लिए एक टोर छिपी सेवा वेबसाइट पर जाने की मांग करता है। यदि भुगतान 40 घंटे से अधिक समय में नहीं किया जाता है तो यह कीमत बढ़ाने की धमकी देता है।

हमला तेजी से बढ़ रहा है। ग्रुप-आईबी के प्रवक्ता एवगेनी गुकोव ने कहा, "दो घंटे पहले तीन मीडिया आउटलेट पर हमला किया गया था, फिर यह दो और था।"

फ़ाइल एक्सटेंशन जो #BadRabbit एन्क्रिप्ट करता है। # क्रिप्टोकरंसी # picomware pic.twitter.com/LCHeIueFL7

- ग्रुप-आईबी (@GroupIB_GIB) 24 अक्टूबर, 2017

इंटरफैक्स ने हैक की पुष्टि की और कहा कि कंपनी के सर्वर विफल हो रहे थे।

सुरक्षा फर्म ईएसईटी के मुताबिक, हमले में कीव मेट्रो भी शामिल है, जिसने कोड का विश्लेषण किया और कहा कि यह पेट्या मैलवेयर पर आधारित है, जिसका इस्तेमाल जून में वैश्विक रैनसमवेयर हमले के लिए भी किया गया था। उस मामले में, शोधकर्ताओं ने सुझाव दिया कि पेट्या वाइपर मैलवेयर रैंसमवेयर के रूप में प्रच्छन्न था, और प्रभावित लोगों को भुगतान न करने के लिए प्रोत्साहित किया।

यह नया रैंसमवेयर एक नकली एडोब फ्लैश प्लेयर इंस्टाल पर फैल रहा है जो ईएसईटी के अनुसार, 20 अलग-अलग वेबसाइटों को हैक किया गया था। इन साइटों में से कई रूसी समाचार आउटलेट से हैं, लेकिन कुछ यूक्रेनी .ua डोमेन का उपयोग करते हैं।

इन छेड़छाड़ वाली वेबसाइटों पर जाने वालों ने एक पॉपअप देखा होगा जो उन्हें फर्जी एडोब फ्लैश प्लेयर अपडेट डाउनलोड करने के लिए कहेगा। एक बार रैंसमवेयर इंस्टॉल हो जाए, तो यह स्थानीय नेटवर्क को खोजेगा, नए कंप्यूटरों की खोज करेगा। दुर्भावनापूर्ण कोड Microsoft Windows के सर्वर संदेश ब्लॉक प्रोटोकॉल का उपयोग करके ऐसा करता है, एक फ़ाइल-साझाकरण सुविधा जिसे अन्य रैंसमवेयर हमलों ने भी उपयोग किया है।

नकली एडोब फ्लैश इंस्टॉलर का स्क्रीनशॉट।

इसके अलावा, BadRabbit रैनसमवेयर ESET के अनुसार, एक हैकिंग टूल Mimikatz लॉन्च करेगा, जो कि समझौता किए गए कंप्यूटर से पासवर्ड काट सकता है।

सुरक्षा फर्म कास्परस्की लैब ने इसी तरह के निष्कर्षों को पोस्ट किया और कहा कि "हैक की गई रूसी मीडिया वेबसाइटों की संख्या" नकली एडोब फ्लैश इंस्टॉलर को पीड़ितों को कार्यक्रम को निष्पादित करने के तरीके के रूप में वितरित कर रही थी।

"किसी भी कारनामे का इस्तेमाल नहीं किया गया, " कास्परस्की ने एक ब्लॉग पोस्ट में कहा। इसका मतलब है कि रैंसमवेयर केवल तभी संक्रमित होगा जब पीड़ित मैन्युअल रूप से नकली फ्लैश इंस्टॉलर को निष्पादित करता है।

अधिकांश हमले रूस में पीड़ितों को मार रहे हैं, लेकिन कुछ संक्रमण यूक्रेन, तुर्की और जर्मनी में भी फैल गए हैं, कैस्परस्की ने कहा। सुरक्षा फर्म के आंकड़ों के आधार पर, "कुल मिलाकर, लगभग 200 लक्ष्य हैं, " और हमला जारी है।

मंगलवार को, CERT-UA, यूक्रेन की कंप्यूटर आपातकालीन प्रतिक्रिया टीम ने एक बयान जारी किया, जिसमें हमलों की लहर के बारे में चेतावनी दी गई थी। ओडेसा हवाई अड्डे की तरह अन्य संस्थान भी हैक का अनुभव करते हैं, लेकिन इस समय यह स्पष्ट नहीं है कि हमले संबंधित हैं या नहीं।

सुरक्षा फर्म अवास्ट ने इन देशों को निशाना बनाते हुए बैडबैबिट हमले का पता लगाया है।

मंगलवार के प्रकोप के पीछे कौन अज्ञात हो सकता है। हालांकि, हैकर गेम ऑफ थ्रोन्स का प्रशंसक प्रतीत होता है। सुरक्षा शोधकर्ता रैंसमवेयर के कोड में फंतासी श्रृंखला के संदर्भ ढूंढ रहे हैं, जैसे कि तीन ड्रेगन के नाम।

यह भी संभव है कि मंगलवार का हमला अन्य माध्यमों से शुरू किया गया हो। ईएसईटी ने कहा कि यह अब तक कोई सबूत नहीं मिला है कि रैंसमवेयर के प्रकोप से प्रभावित कंपनियां फर्जी एडोब फ्लैश अपडेट के लिए गिर गईं।

सम्बंधित

  • न्यू मिराई-लाइक मालवेयर टोट्स IoT डिवाइसेस न्यू मिराई-लाइक मालवेयर टारगेट IoT डिवाइसेज

इसका मतलब यह हो सकता है कि BadRabbit के पीछे रहस्यमय अपराधी पहले से ही कंपनियों के नेटवर्क के अंदर हो सकता है, और उन सभी पर एक बार हमला किया। ईएसईटी ने कहा कि नकली एडोब फ्लैश अपडेट केवल एक डिकॉय था।

सुरक्षा फर्मों का कहना है कि वे पूरे दिन में हमले के बारे में अधिक विवरण जारी करने की योजना बनाते हैं।

Microsoft ने एक सलाह जारी की है कि कैसे व्यवस्थापक अपने कंप्यूटर को हमले से बचा सकते हैं। विंडोज डिफेंडर एंटीवायरस का नवीनतम अपडेट भी खतरे का पता लगाएगा और हटाएगा।