카스퍼스키에 따르면 Odessa 국제 공항이 자사 정보 시스템을 타깃으로 하는 사이버 공격에 대해 보고했는데, 이것이 동일한 공격인지는 명확하지 않다. 러시아 사이버 보안 회사인 Group-IB의 Ilya Sachkov 소장은 몇몇 회사의 경우 작업이 명확하게 병렬화되어 있고, 서버와 워크 스테이션이 암호화되어 있다고 언급했다.
멀웨어 전문가들은 Bad Rabbit이 Petya 멀웨어와 유사하게 회사 네트워크를 타깃으로 한다고 말한다. 이 악성 코드는 사용자가 시스템 잠금 해제 요청시 0.05 비트코인(약 280달러)를 요구한다. 카스퍼스키 연구원들은 조사를 통해 Bad Rabbit 랜섬웨어가 드라이브 바이 다운로드 공격에 의해 확산되었고, 공격자들이 가짜 어도비 플래시 플레이어 설치 프로그램을 사용하여 멀웨어 설치를 유도하고 있음을 발견했다.
연구원들은 “10월 24일에 Bad Rabbit라고 불리는 랜섬웨어로 인한 대량 공격을 발견했다. 이는 주로 러시아 기관과 사용자들을 대상으로 실시되었고, 우크라이나 피해 사례도 발견됐다. 익스플로잇이 사용되지 않았으므로 사용자는 가짜 어도비 플래시 설치 프로그램 드로퍼를 실행해야 한다”고 말했다.
보안회사 ESET 연구원들은 Bad Rabbit 랜섬웨어를 Win32/Diskcoder.D로 추적했다. ESET에 따르면 해당 멀웨어는 Petya의 새로운 변형이고, 오픈 소스 암호화 소프트웨어인 DiskCryptor를 사용하며 파일은 암호화된 RSA2048키이다. 이 연구원들은 새로운 랜섬웨어가 EternalBlue 익스플로잇을 사용하는 대신 열려있는 SMB 공유를 검색해 접근한다는 사실을 발견했다. 이는 하드코딩된 증명서를 사용해 악성코드를 삭제하기 위함이다. 그리고 나서 Mimikatz 툴을 사용하여 타깃에서 증명서를 추출한다.
ESET이 공개한 분석글은 "Win32/Diskcoder.D는 SMB를 통해 확산될 수 있다. 일부 공개된 주장과는 달리 Win32/Diskcoder.C(Not Petya)와 같은 EternalBlue 취약점은 사용하지 않는다. 첫번째로 내부 네트워크에서 개방된 SMB 공유를 검색한다. Mimikatz는 증명서를 얻기 위해 공격 당한 컴퓨터에서 실행된다. 하드코딩된 사용자명과 암호 리스트 또한 존재한다”고 언급하고 있다. 지불과 관련된 웹사이트는 토르 네트워크에서 호스팅 되고, 랜섬 노트가 복호화를 위한 비용과 지불 지침을 제공하고 있다.
많은 보안 전문가들이 계속해서 Bad Rabbit를 분석 중이며, 카스퍼스키 멀웨어 연구원들은 랜섬웨어가 타깃 네트워크를 통해 전파되지 않도록 WMI(윈도우 관리 도구)서비스를 비활성화하고, c:windowsinfpub.dat와 c:Windowscscc.dat 파일들의 실행을 막아야 한다고 조언한다.
★정보보안 대표 미디어 데일리시큐!★
