พบการโจมตีด้วยแรนซั่มแวร์ครั้งใหม่ในวงกว้าง ที่ระบาดเร็วมากทั่วทั้งยุโรป โดยเล่นงานองค์กรขนาดใหญ่ไปแล้วกว่า 200 แห่ง โดยเฉพาะในรัสเซีย, ยูเครน, ตุรกี, และเยอรมัน ภายในไม่กี่ชั่วโมง ซึ่งมีชื่อเรียกว่า “Bad Rabbit” มีพฤติกรรมเหมือน Petya ที่มุ่งจัดการเหยื่อระดับองค์กรเป็นหลัก เพื่อเรียกค่าไถ่ในราคา 0.05 บิทคอยน์ (หรือประมาณ 285 ดอลลาร์สหรัฐฯ)
จากการวิเคราะห์ของ Kaspersky นั้น แรนซั่มแวร์นี้น่าจะถูกส่งต่อๆ กันมาผ่านการหลอกในดาวน์โหลดในรูป Adobe Flash Player ปลอม เพื่อลวงให้เหยื่อติดตั้งมัลแวร์โดยไม่สงสัยอะไร เนื่องจากมัลแวร์นี้ไม่ได้อาศัยช่องโหว่อะไรในการเจาะระบบ จึงเชื่อว่าเหยื่อเป็นผู้ติดตั้งแรนซั่มแวร์นี้ด้วยตัวเอง
นอกจากนี้ Kaspersky ยังพบเว็บไซต์หลายแห่งที่มีการฝังตัว Player หลอกนี้ให้เหยื่อหลงโหลดไปติดตั้งด้วย ซึ่งส่วนใหญ่เป็นพวกเว็บข่าวหรือสื่อชื่อดัง ขณะที่นักวิจัยจาก ESET ได้ตรวจพบมัลแวร์ Bad Rabbit นี้ในรูป ‘Win32/Diskcoder.D’ ซึ่งถือเป็นสายพันธุ์ใหม่ที่พัฒนามาจาก Petya เดิม โดยจัดอยู่ในกลุ่มเดียวกับ Petrwrap, NotPetya, exPetr และ GoldenEye
แรนซั่มแวร์ Bad Rabbit นี้ใช้ซอฟต์แวร์เข้ารหัสไดรฟ์แบบโอเพ่นซอร์สที่ชื่อ DiskCryptor ในการเข้ารหัสไฟล์บนเครื่องเหยื่อด้วยคีย์แบบ RSA 2048 โดยไม่ได้ใช้ช่องโหว่ EternalBlue เหมือนญาติๆ ของมัน แต่มีการใช้ทูลชื่อ Mimikatz ในการถลุงหาข้อมูลรหัสผ่านต่างๆ บนระบบด้วย ทั้งนี้ Kaspersky แนะนำให้ปิดเซอร์วิส WMI เพื่อป้องกันมัลแวร์ไม่ให้แพร่กระจายบนเครือข่าย
ที่มา : https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html
