BadRabbit treft vooral Rusland en Oekraïne

De aanval lijkt te zijn begonnen via bestanden van gehackte Russische mediasites. Via social engineering werden gebruikers verleid een kwaadaardige update van Adobe Flash Player-installer te installeren, waarmee de ransomware werd binnengehaald. Opmerkelijk is het lage losgeld van 0,05 bitcoin, ongeveer 250 euro, dat overigens binnen 40 uur betaald moet worden. Of dan ook daadwerkelijk de bestanden ontsleuteld wordt, is overigens nog niet duidelijk.

BadRabbit, ransomware die veel wegheeft van NonPetya, heeft een groot aantal organisaties in Rusland, Oekraïne en de VS getroffen. Getroffen zijn onder meer het nieuwsagentschap Interfax, het vliegveld van Odessa, diverse ministeries in de Oekraïne. De meeste slachtoffers lijken echter in Rusland te zijn gevallen. Maar ook in andere Europese landen zoals Denemarken, Turkije en Ierland zijn op websites versies van de kwaadaardige Adobe Flash Player-installer aangetroffen. Nederland lijkt nog niet getroffen.

Code van NonPetya

In BadRabbit is al wel code aangetroffen die afkomstig is van NonPetya, dat in juni zwaar toesloeg, laat Symantec weten. BadRabbit is een zogeheten disk coder, net als NotPetya. Daarbij worden eerst bestanden versleuteld op het gebruikerssysteem en vervolgens wordt het MBR vervangen.

Volgens beveiligers ESET en Fox-IT gebruikt Bad Rabbit de open source-tool Mimikatz om inloggegevens te stelen uit het geheugen van een systeem en lijst met hard-coded wachtwoorden. Daarmee probeert het servers en werkstations via SMG en WebDAV te benaderen op hetzelfde netwerk. NonPetya werkte op precies dezelfde manier.

Wie er achter BadRabbit zit, is nog niet duidelijk.

Diverse antivirus-pakketten detecteren en stoppen BadRabbit voordat het kan opstarten.