Bad Rabbit isimli yeni bir ransomware (fidye yazılımı) Rusya‘daki Interfaks haber ajansı sisteminin ve yine Rusya’da yayın yapan Fontanka gazetesi bilgisayarlarının kilitlenmesiyle keşfedildi. 23 Ekim‘de başlayan saldırı kısa sürede Ukrayna‘da Enformasyon Bakanlığı, Sivil Havacılık, Kiev Metrosu ve Odessa Havalimanı bilgisayarlarını kilitledi.
Bad Rabbit’in izini süren ESET antivirüs yazılım şirketi virüsün Adobe Flash Player güncellemesi gibi görünen sahte bir yazılımla geldiğini tespit etti.
Hackerlar daha önceden ele geçirdikleri popüler web sitelerine JavaScript kodları enjekte etmişler ve kullanıcılar bu ele geçirilen web sitelerinden birini ziyaret ettiğinde, zararlı yazılım dosyasını barındıran bir site olan 1dnscontrol.com adresine yönlendirmişler.
Enjekte edilmiş JavaScript kodlarının düzenlenmiş hali;
Malware (zararlı yazılım) indirilmeden önce 185.149.120[.]5 statik IP adresine bir POST isteği gönderiyor. Bu istek “/scholasgoogle” yoluna gönderiliyor. POST’tan sonra dropper, 1dnscontrol[.]com/index.php ve /flash_install.php olmak üzere iki farklı yoldan indiriliyor. İki farklı yoldan indirilmesine rağmen sadece tek bir dosya iniyor. İnen dosya çalıştırıldığında bilgisayar kilitleniyor ve fidye yazısı görüntüleniyor.
Bad Rabbit, kilitleme yaptıktan sonra 0.05 BTC (yaklaşık 300$) ödeme istiyor. Bu ödemenin geri sayım sayacının sonuna kadar ödenmesini istiyor. Bu süre zarfında ödeme yapılmazsa fiyat iki katına çıkıyor.
Bad Rabbit, bulaştıktan sonra hak yükseltiyor ve bu yolla diğer sistemlere de bulaşmayı hedefliyor. Ardından kullanıcıların kimlik bilgilerini toplamak için de mimikatz aracını çalıştırıyor.
İlk olarak etkilenen ülkeler arasında Rusya’yı görüyoruz. Ardından Ukrayna, Türkiye ve Bulgaristan da etkiler görülmeye başlandığı belirtiliyor.
Kaspersky Lab Anti Zararlı Yazılım Araştırma Ekibi Başkanı Vyacheslav Zakorzhevsky konuyla ilgili açıklama yaparak, “Elimizdeki verilere göre bu saldırıların hedef aldığı kurbanların büyük çoğunluğu Rusya’da bulunmaktadır. Benzer fakat daha az sayıda saldırıya Ukrayna, Türkiye ve Almanya’da da rastlanmıştır. Bu fidye yazılımı cihazlara bir takım ele geçirilmiş Rus medyası web sitesinden bulaşmaktadır. İncelemelerimize göre, bu kurumsal ağlara yönelik hedefli bir saldırı olmuştur ve ExPetr saldırısındakine benzer yöntemler kullanmaktadır. ExPetr ile bağlantılı olduğunu teyit edememekle birlikte, araştırmalarımız devam etmektedir.” dedi.
Konu ile ilgili yapılan araştırmalarda;
Yakalanan Örnekler:
C&C Sunucuları:
- Ödeme adresi: http://caforssztxqzf2nm[.]onion
- Enjekte adresi: http://185.149.120[.]3/scholargoogle/
- Dağıtım adresi: http://1dnscontrol[.]com/flash_install.php
Aracı Sunucu:
- 185.149.120[.]3
Yönlendiren Siteler:
- http://argumentiru[.]com
- http://www.fontanka[.]ru
- http://grupovo[.]bg
- http://www.sinematurk[.]com
- http://www.aica.co[.]jp
- http://spbvoditel[.]ru
- http://argumenti[.]ru
- http://www.mediaport[.]ua
- http://blog.fontanka[.]ru
- http://an-crimea[.]ru
- http://www.t.ks[.]ua
- http://most-dnepr[.]info
- http://osvitaportal.com[.]ua
- http://www.otbrana[.]com
- http://calendar.fontanka[.]ru
- http://www.grupovo[.]bg
- http://www.pensionhotel[.]cz
- http://www.online812[.]ru
- http://www.imer[.]ro
- http://novayagazeta.spb[.]ru
- http://i24.com[.]ua
- http://bg.pensionhotel[.]com
- http://ankerch-crimea[.]ru
gibi bulgulara rastlanıyor.
