Atacul cibernetic botezat Bad Rabbit („Iepurele cel Rău”)

După incidentele notabile WannaCry și ExPetr/NotPetya, atacul cibernetic cunoscut sub numele de Bad Rabbit s-a clasat pe locul trei în topul amenințărilor globale. Primele indicii ale acestui atac au fost observate în octombrie 2017, având ca ținte principale rețelele corporative și instituțiile media din Rusia.

### Conexiuni cu ExPetr și Reîntoarcerea Virusului

RecomandariGuvernul britanic confirmă atacul cibernetic din luna octombrie

Cercetătorii în securitate cibernetică au stabilit o legătură între Bad Rabbit și ExPetr, având în vedere că noua amenințare utiliza un exploit din familia „Eternal”, denumit de această dată EternalRomance. Aproape doi ani mai târziu, virusul a revenit cu o intensitate crescută în vara acestui an, afectând grav bazele de date ale instituțiilor de sănătate din România și nu numai.

### Tactica de Atac: Programul Fals Adobe Flash

La începutul operațiunii Bad Rabbit, pe 24 octombrie 2017, atacatorii au folosit un site de pe Darknet pentru a lansa un mesaj de răscumpărare, cerând inițial 0,05 bitcoin, echivalentul a aproximativ 280 de dolari. Această sumă a crescut ulterior la 300 de dolari.

RecomandariPoliția britanică a reținut un suspect în legătură cu atacul cibernetic asupra aeroporturilor din Europa

Intrarea în sistem a fost facilitată prin distribuirea unui program fals de Adobe Flash, pe care utilizatorii îl descărcau pe computerele lor. Odată ce utilizatorul activa fișierul .exe, infectarea era declanșată automat.

### Impactul Asupra Instituțiilor Media și Infrastructurii

Bad Rabbit a reușit să compromită mai multe instituții media din Rusia, inclusiv agenția de presă Interfax și site-ul de știri Fontanka.ru din Sankt-Petersburg, precum și compania de securitate Group-IB. În Ucraina, atacul a afectat sistemele informatice ale Aeroportului Internațional din Odesa, iar metroul din Kiev, care a fost atacat anterior de NotPetya, a anunțat că nu acceptă plăți cu carduri bancare, fără a menționa probleme de securitate.

RecomandariDIICOT deschide un dosar penal în legătură cu atacul cibernetic de la Camera Deputaţilor

### Analiza Tehnică a Atacului

Conform cercetărilor efectuate de Kaspersky, atacul Bad Rabbit a fost clar orientat spre rețelele corporative, folosind metode similare celor din atacul ExPetr. O parte din codul utilizat în Bad Rabbit a fost identificat anterior în ExPetr. De asemenea, ambele atacuri au folosit Windows Management Instrumentation Command-line (WMIC) pentru a se răspândi în rețelele corporative. Totuși, Bad Rabbit nu a folosit exploit-ul EternalBlue, ci EternalRomance pentru a se deplasa în rețeaua locală.

### Caracteristicile Ransomware-ului

Experții consideră că atât ExPetr, cât și Bad Rabbit au același autor, dar Bad Rabbit nu este un „wiper” (ștergător), ci un ransomware care criptează anumite fișiere și instalează un bootloader modificat, împiedicând astfel pornirea normală a PC-ului. Aceasta înseamnă că, spre deosebire de un wiper, autorii ar putea avea capacitatea de a decripta parolele necesare pentru a accesa fișierele.

### Extinderea Amenințării: De la Europa la Asia

În România, Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) a publicat rapid rapoarte detaliate despre atac. Inițial, infecțiile s-au concentrat în estul Europei și în Rusia. Virusul Bad Rabbit, odată ce a pătruns într-o stație de lucru, încerca să se răspândească lateral în rețea, modificând codul din zona MBR a discului de stocare pentru a afișa mesajul de răscumpărare.

### Tehnici de Propagare și Impactul Global

Un raport de la Cisco Talos a arătat că exploit-ul utilizat de ransomware pentru propagare era EternalRomance, nu EternalBlue, ca în cazul ExPetr/NotPetya. Această nouă tehnică exploata vulnerabilitățile menționate în buletinul de securitate MS17-010 emis de Microsoft.

În total, atacurile Bad Rabbit au afectat aproximativ 200 de organizații la nivel global, cu Rusia având cea mai mare pondere a atacurilor, de 65%, urmată de Ucraina (12,2%), Bulgaria (10,2%), Turcia (6,4%) și Japonia (3,8%). În România, CERT-RO a identificat 48 de site-uri nelegitime care redirecționau utilizatorii către servere de descărcare a malware-ului.

### Revenirea Bad Rabbit în 2019

După o perioadă de inactivitate, Bad Rabbit a revenit în 2019 cu un atac agresiv. O investigație realizată de CERT-RO, Cyberint și Bitdefender a descoperit amenințări care vizau spitalele din România. Pe 20 iunie 2019, Serviciul Român de Informații (SRI) a raportat că patru unități medicale au fost afectate de ransomware-ul Bad Rabbit 4.

### Concluzie: O Amenințare Persistenta

Ransomware-ul Bad Rabbit a demonstrat o capacitate remarcabilă de adaptare și reinvenție în decurs de doar doi ani, provocând daune semnificative în diverse sectoare. Răscumpărările solicitate de atacatori au reprezentat scopul final al acestor atacuri, pe care aceștia au reușit să le atingă în mod repetat.