Bu hafta ortaya çıkan yeni bir fidye yazılımı Kiev metro sistemi, Odessa havaalanı ve Rus haber ajansı Interfax gibi Rusya ve Ukrayna'daki çok sayıda yüksek profilli kurumu hedef aldı.


Fidye yazılımları ailesinin bu yeni üyesi Bad Rabbit (Kötü Tavşan) olarak adlandırılıyor ve eski Sovyet sınırlarındaki kritik altyapıları ve yüksek profilli varlıkları hedef alacak gibi görünüyor. Ön analizimize göre, bu yeni fidye yazılımının aşağıda açıklandığı gibi veri şifreleme ve yanal hareket için kaldıraçlı birçok açık kaynaklı araç ile birlikte geldiğini ortaya koyuyor.


Örneğe Kaba Bir Bakış

Bad Rabbit'in sisteminize bulaşma işlemi, ele geçirilen web sitelerinden indirilen sahte bir Adobe Flash yükleyicisi ile başlıyor. Bu sahte Flash yükleyicisi holds the actual ransomware payload in a ZLIB-packed overlay. Bir kez çözüldükten sonra gerçek fidye yazılımını bırakır ve çalıştırır.


Yukarıda bahsedilen fidye yükü, ZLIB tarafından sıkıştırılmış kaynaklardan şifreleme amaçlı olarak veya yanal olarak yayılmak için kullanılan altı farklı araç içermiyor. Bu araçlar şunlardır:
• Şifreleyici bileşeni
• Önyükleyici


Mimikatz - bellekteki parolaları ve kimlik doğrulama belgelerini ayıklamak için bir yardımcı program
•    X86 için derlenmiş bir Mimikatz ikilisi
•    X64 için derlenmiş bir Mimikatz ikilisi


DiskCryptor - açık kaynak kodlu bir bölüm şifreleme çözümü
•    X86 için derlenmiş bir DiskCryptor sürücüsü
•    X64 için derlenmiş bir DiskCryptor sürücüsü


Şimdiye Kadar Bildiklerimiz

Bad Rabbit, GoldenEye / NotPetya'ya yapısal ve esas odak olarak son derece benzemektedir. Mimikatz'ın uygulanması nedeniyle virüs bulaşmış bir iş istasyonundan başka bir organizasyona geçmesine izin veren viral yapısıyla Ukrayna'nın kritik altyapısını hedefliyor. DiskCryptor sürücüsü aracılığıyla disk şifreleme özelliğine sahiptir. Böylece sistemin normal açılış sürecine müdahele edebilir ve bilgisayarın çalışmasını önleyebilir.


Bitdefender GravityZone veya Bitdefender Elite kullanıcılarımız bu saldırıya karşı anında korunuyor ve bu yeni ransomeware ailesinden etkilenmiyor. Ürünlerimiz hem teslim mekanizmasını hem de bugüne kadar bilinen BadRabbit ransomware'in tüm varyasyonlarını algılar ve keser. Bitdefender GravityZone'un tüm sürümlerinde bulunan Bitdefender Machine Learning modelleri, daha önce görülmemiş saldırıları ön-çalıştırma aşamasında yakalamak için özel olarak tasarlanmıştır.