Geplaatst op 24 oktober 2017 Door In categorie Nieuws, Ransomware

Nieuwe ‘Bad Rabbit’-ransomware slaat toe in Rusland en Oost-Europa

Er gaat een nieuwe ransomware rond in onder andere Rusland en Oekraïne, maar ook in Duitsland, die wel erg veel lijkt op de destructieve (Not)Petya-ransomware van eerder dit jaar. Het gijzelvirus, genaamd Bad Rabbit, slaat toe in publieke instellingen zoals metro’s, vliegvelden en ziekenhuizen.

Dat melden verschillende beveiligingsbedrijven, waaronder ESET en Kaspersky. De ransomware heeft de codenaam ‘Bad Rabbit’ gekregen.

Diskcode.D

ESET zegt dat het gaat om de Diskcoder.D-ransomware, die algemeen bekend staat als Petya. Die gijzelmalware sloeg in juni van dit jaar toe in tientallen landen over de hele wereld en veroorzaakte miljoenen euro’s aan schade.

Petya

Het lijkt erop dat Bad Rabbit op dezelfde professionele wijze in elkaar zit als Petya, en dat het van dezelfde encryptiemethode gebruik maakt. Daarbij worden dus geen individuele bestanden versleuteld, maar complete pc’s.

Bovendien lijkt ook de losgeldbrief erg op die van Petya. De makers vragen zo’n 250 euro in bitcoins voor het ontsleutelen van de harde schijf.

Flash Player

De Bad Rabbit-ransomware wordt verspreid via gehackte Russische mediawebsites waar een neppe Adobe Flash-installeerder op draait. Gebruikers die daar op klikken krijgen de ransomware op hun systeem. Daarvoor moet dus wel actief worden geklikt door slachtoffers – wie de website gewoon bezoekt blijft voorlopig veilig.

Oost-Europa

Tot nu toe is in ieder geval bevestigd dat het metrosysteem in de Oekraïense hoofdstad Kiëv is getroffen, en het vliegveld van Odessa. Ook een aantal instanties in Rusland zijn getroffen. Er stromen steeds meer berichten binnen van andere instellingen die ook lijken te zijn getroffen, maar veel van die berichten zijn nog onbevestigd.

Volgens ESET komt er ook veel telemetrie binnen vanuit landen als Turkije, Bulgarije en zelfs Duitsland. De meeste getroffen landen lijken zich in Oost-Europa te bevinden

Game of Thrones

Opvallend is dat de ransomware gebruik maakt van een aantal variabelen in de code die refereren naar fantasy-tv-serie Game Of Thrones. Zo worden namen als ‘Drogon’, ‘Rhaegal’ en ‘Viserion’ gebruikt.

Slecht nieuws

Als de aanval daadwerkelijk gerelateerd is aan Petya is dat slecht nieuws. Beveiligingsexperts zijn het er inmiddels over eens dat die aanval niet bedoeld was om losgeld los te peuteren, maar om bedrijven te saboteren. Het bleek vrijwel onmogelijk om de ransomware te ontsleutelen, en bedrijven kregen ook na betaling hun computers niet terug.

[Dit verhaal wordt aangevuld als er nieuwe updates zijn.]

Tags : , , , , ,

Tijs is de oprichter van RansomwareVerwijderen.com. Hij werkt als freelance tech-journalist voor meerdere computerbladen en -sites, en wil met deze website slachtoffers van ransomware helpen. Meer informatie is ook te vinden op 'Over ons'.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *