Merhaba değerli arkadaşlar ,24.10.2017 tarihi itibariyle bazı Rusya media-market satış mağazaları server sistemlerine saldırı aldıklarını, yeni ve farklı tipte bir crypto-ransomeware zararlısının aktif olmaya başladığı bilgisini yayımladı ve zararlının ilk görüldüğü yerlerin Rusya ve Ukrayna havalimanı bölgesi olduğu bildirildi. Zararlı ile ilgili ilk bilgi ve görüntüler Rus güvenlik firması tarafından dünyaya servis edildi.
Aşağıda 13.10.2017 tarihinde yayımlanmış Ukrayna Siber Güvenlik ekibinin uyarısını görebilirsiniz.
Saldırıya ilişkin olarak ise Symantec firmasından yayımlanan ilk bulgular ve öneriler aşağıdaki gibidir ;
Zararlı bir JavaScript kullanarak website/watering hole attack metodu ile saldıyı gerçekleştiriyor. JavaScript, kötü amaçlı bir Flash Player güncellemesi yüklemek için bir pop-up oluşturuyor ve saldırıya maruz kalan kullanıcı “Yükle” düğmesini tıklattığı zaman, zararlı hxxp: // 1dnscontrol [.] com adresinden install_flash_player.exe adında indiriyor.
İndirilen bu dosya ana tehdit unsuru olmakla birlikte ortamdaki açık paylaşımları taramaktadır. Zaralı Rundll.exe üzerinden infpub.dat HackTool dosyasını çalıştırarak kimlik ve erişim bilgilerini topluyor.
Bu işlemin ardından diskleri şifrelemek için DiskCryptor aracını, kilit ekranını oluşturmak içinde dispci.exe’yi kullanmaktadır.
Symantec firmasının aldığı ve önerdiği önlem metodları ;
install_flash_player.exe – Ransom.BadRabbit – Dropper component
MD5: fbbdc39af1139aebba4da004475e8839
SHA2: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
Total Cloud Protection(SEP14): Trojan Horse – Available now
Detected as: Ransom.BadRabbit RR Seq: 188194 – Ext: 20171024.016
infpub.dat – Ransom.BadRabbit – Main Threat/Encryptor component
MD5: 1d724f95c61f1055f0d02c2154bbccd3
SHA2: 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
Total Cloud Protection(SEP14): Trojan Horse – Available now
Detected as: Ransom.BadRabbit – RR Seq: 188198 – Ext: 20171024.020
dispci.exe – Ransom.BadRabbit – ScreenLocker component
MD5: b14d8faf7f0cbcfad051cefe5f39645f
SHA2: 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
Total Cloud Protection(SEP14): Trojan Horse – Available now
Detected as: Ransom.BadRabbit – RR Seq: 188198 – Ext: 20171024.020
TMP file – Ransom.BadRabbit – Hacktool component
MD5: 347ac3b6b791054de3e5720a7144a977
SHA2: 301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
Detected as: Ransom.BadRabbit – RR Seq 188200 – Ext 20171024.022
TMP file – Ransom.BadRabbit – Hacktool component
MD5: 37945C44A897AA42A66ADCAB68F560E0
SHA2: 2F8C54F9FA8E47596A3BEFF0031F85360E56840C77F71C6A573ACE6F46412035
Detected as: Ransom.BadRabbit – RR Seq 188200 – Ext 20171024.022
page-main.js – From compromised website – Under research
Detected as: ??? pending
DiskCryptor – Legitimate disk encryption software (not detected)
MD5: edb72f4a46c39452d1a5414f7d26454a
SHA2: 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
Alınacak aksiyonlar ;
hxxp://1dnscontrol[.]com adresinin gateway katmanında bloklanması
Yukarıda görülen hash değerlerinin blacklist özelliği olan uygulamalarda bloklanması
