Fortinet, Bad Rabbit (Kötü Tavşan) adında yeni bir fidye yazılıma karşı kullanıcıları uyardı.
Bad Rabbit, Rusya ve Doğu Avrupa’daki yüksek profilli hedeflere zarar verdi. 24 Ekim’de tespit edilen Bad Rabbit ile ilk olarak Rusya ve Ukrayna’da karşılaşılırken Türkiye, Almanya ve Doğu Avrupa’nın küçük bir bölümünden de bulaşma raporlamaları alınmıştı. Güney Kore ve Amerika’dan gelen raporlar saldırının başka bölgelere de yayıldığını gösteriyor.
Aralarında Rus haber ajansı Interfax offline’ın da bulunduğu Rusya’daki birçok medya kurumu saldırıdan etkilendi. Ayrıca Odessa Uluslararası Havalimanı ve Ukrayna’daki Kiev metrosu gibi ulaşım merkezleri de saldırının etkisi altında kaldı. Halihazırda saldırının kim ya da kimler tarafından gerçekleştirildiğine dair bir bilgi bulunmuyor.
Öne çıkan ilk tehlike vektörü kullanıcıların Flash Player’ı kötücül yazılım bulaşmış sitelerden şüpheli kopyalarını indirmeleri veya watering hole (su kaynağı) saldırıları* ile gerçekleşiyor. Kullanıcıları kandırıp .exe uzantılı bir dosyanın açılmasıyla kötücül yazılımı çalıştırmayı hedefleyen saldırı Windows cache’sinde saklı kullanıcı bilgilerini (kullanıcı adı ve şifreler) çalıp kullanıcı dosyalarını şifreliyor. Diğer fidye yazılımların tersine bu kötü niyetli yazılım şifrelediği dosyaları yeniden adlandırmıyor ya da adlarını değiştirmiyor.
Petya’nın bir başka şekli olabilecek payload, yazılım etkisini göstermeye başladığında bilgisayarlardaki veri dosyalarını ve ağ paylaşımlarını şifreledikten sonra fidye notunu ekrana getiriyor. Fidye yazılım şifrelenmiş dosyaları eski haline getirmek için yaklaşık olarak 275 dolar değerinde 0,05 Bitcoin talep ediyor.
Bu kötü niyetli yazılım aşağıdaki dosyalardan herhangi birini karşınıza çıkarabilir:
- %Windows%\cscc.dat : Bir masaüstü şifreleme yardımcısı, ReactOS tarafından geliştirildi ve daha çok dcrypt.sys olarak biliniyor.
- %Windows%\dispci.exe : Bu dosya W32/Diskcoder.D!tr.ransom. olarak tespit edildi.
- %Windows%\infub.dat : Bu dosya W32/Diskcoder.D!tr.ransom. olarak tespit edildi.
- %Desktop%\DECRYPT.lnk : discpi.exe için bir kısayol dosyası.
- %RootDir%\Readme.txt : Bu dosya fidye notunu içeriyor.
Kötü niyetli yazılımın ayrıca aşağıdaki WebDav komutlarını uyguladığı görüldü:
- OPTIONS /admin $
- PROPFIND /admin$
FortiGuard Labs’te gerçekleştirdiğimiz testler sonucu bu fidye yazılımın aynı subnet içindeki farklı IP’leri sıralamaya çalıştığını gördük. Bu davranışın bir açıklaması ise kötü niyetli yazılımın geçerli bir web sunucusu olan dahili bir IP adresi bulmaya çalıştığı olabilir. Ek olarak payload diğer ağlar üzerinde hareket edip bulaşabileceği başka cihazlar da arıyor.
Bu saldırı medyadan da büyük ilgi görürken WannaCry ve Petya gibi geçtiğimiz baharda ortalığı kasıp kavuran saldırılarla benzerlikleri olması da dikkatleri çekti. Adı geçen fidye yazılımların aksine Bad Rabbit Eternal Blue veya DoublePulsar açıklarını hedeflemiyor.
Fortinet bu kötü niyetli yazılımın şu anda küçük boyutlarda yayıldığını tespit etti. Ancak daha fazla sayıda sanal sunucu ve araştırma sensör boğumları olan Avrupa ve Kuzey Amerika bölgelerinin de hedef haline gelmesi ile bu durum değişebilir.
Çözüm:
Fortinet’in AV/Malware motoru W32/Diskcoder.D!.tr.ransom imzası aracılığıyla bilinen bütün kötü niyetli yazılımları tespit edebilir. Buna ek olarak Fortinet Web Filtreleme özelliği ve DNS motorları ile bilinen C&C (komut ve kontrol) sunucularını da engelleyebilir.
IOC:
%Windows%\cscc.dat Virüs
%Windows%\dispci.exe Virüs
%Windows%\infub.da Virüs
%Desktop%\DECRYPT.lnk dispci.exe kısa yolu
1dnsconrol[.].com muhtemel C&C sunucusu
