BadRabbit ransomware campagne

BadRabbit ransomware campagne

DearBytesBlogMalware/ransomwareBadRabbit ransomware campagne

Wat is er aan de hand?

Een nieuw ransomware exemplaar heeft veel organisaties in Oekraïne en Rusland getroffen. Het heeft de naam BadRabbit gekregen.

De Badrabbit ransomware komt via een malafide Flash update bestand binnen, en probeert zich daarna naar andere computers in het netwerk te verspreiden. Daarna versleutelt het bestanden en het opstartsysteem van de computer.

Klik hier voor meer informatie onder andere deze berichten:

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

 

Waarom is dit belangrijk?

Er zijn in deze aanval veel gelijkenissen met de Petya uitbraak eerder dit jaar die tot grote schade heeft geleid bij diverse organisaties. Er wordt gevreesd voor vergelijkbare impact.

Op wie is BadRabbit van toepassing?

Organisaties die zaken doen in of met Oekraïne of Rusland lopen een verhoogd risico. De infectie richt zich tot Microsoft Windows computers.

Verspreiding in het netwerk wordt door BadRabbit geprobeerd op verschillende manieren:

  • de EternalBlue exploit;
  • door middel van Mimikatz gestolen beheerders wachtwoorden;
  • Gegokte, standaard wachtwoorden.

Wat kunt u tegen BadRabbit ransomware doen?

Zorg dat anti-virus software up-to-date is en ingeschakeld om via cloud controles de laatste malware te kunnen herkennen.

Om onbekende varianten te blokkeren, is het tevens raadzaam de malware op gedrag te herkennen. Door de volgende bestanden aan te maken op het systeem en schrijftoegang daartoe te blokkeren, kan verspreiding worden voorkomen:

  • %windir%\infpubdat
  • %windir%\dispci.exe
  • Permissions: everyone deny

Als u niet in staat bent om op alle computers in het netwerk deze bestanden aan te maken, kunt u wellicht uw Endpoint Protection software hiervoor gebruiken. Het DearBytes Research Team heeft een access protection rule voor McAfee Endpoint Protection ontwikkeld en getest die de verspreiding van #BadRabbit effectief blokkeert:

Badrabbit ransomware
Bad rabbit mcafee

In zijn algemeenheid wordt ransomware vooral verspreid via e-mail of malafide weblocaties. Wees dus altijd voorzichtig bij het openen van dergelijke informatie: controleer de afkomst goed.

Op het moment staat het nog niet vast dat betaling van losgeld leidt tot herstel van bestanden. In zijn algemeenheid, maar dus zeker ook in dit geval adviseert DearBytes niet om losgeld te betalen. Zorg voor goede backups en herstelprocedure om voorbereid te zijn voor een eventueel herstel naar aanleiding van een ransomware incident.

Heeft u hulp nodig bij een infectie, neem dan contact op met ons 24x7 security helpdesk: 0251-750250.

Wat doet DearBytes?

Bij klanten met de Malware Defense Service van DearBytes wordt de bovenstaande access protection rule in overleg geactiveerd.

Blijf op de hoogte

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.