Laat u uw dag verzieken door een konijn?

Waar eerder de ransomware Petya /NotPetya de gemoederen bezig hield, zijn er de afgelopen dagen opnieuw meldingen gedaan over nieuwe ransomware. Het gaat hier om de ransomware “Bad Rabbit”. Security specialisten van aaZoo houden deze situatie al enkele dagen in de gaten, in dit blog artikel geschreven door Mauritz van Gelder, vindt u meer informatie over deze vorm van ransomware en wat u hieraan kunt doen.

Hoe gaat Bad Rabbit nu te werk?

De Bad Rabbit ransomware maakt gebruik van gehackte websites, waarbij de malware via een drive-by download op systemen terecht komen, dit houdt in dat bezoekers van een gehackte webpagina een pop up te zien krijgen waarin een update wordt aangeboden voor adobe flash player.

Wanneer de gebruiker klikt op “Install” wordt de bezoeker doorgestuurd naar een andere website waar de “update” wordt gedownload. Wanneer de bezoeker de gedownloade “update” opent wordt BadRabbit geactiveerd en probeert deze zich via het netwerk te verspreiden, zodra de ransomware is geactiveerd zijn er met betrekking tot de werking overeenkomsten met de Petya/NotPetya ransomware.
BadRabbit start namelijk met het versleutelen van bestanden en zorgt het ervoor dat het systeem onbruikbaar wordt door het overschrijven van het Master Boot Record.

De gebruiker krijgt vervolgens onderstaande pagina te zien, waarbij BadRabbit 240,- euro eist om het systeem en de bestanden weer vrij te geven.

Uit onderzoek van onder andere Cisco Talos blijkt dat de broncode van Bad Rabbit overeenkomsten vertoont met de eerder genoemde Netya ransomware. Dit doet vermoeden dat de bron van de ransomware in dezelfde hoek gezocht moet worden.

Zijn er ook methodes om je zoveel mogelijk te beschermen tegen uitbraken van Ransomware?

Allereerst is het van belang dat software updates te installeren als deze beschikbaar zijn, deze zorgen ervoor dat ransomware geen gebruik kunnen maken in beveiligingslekken van de browser en/of het besturingssysteem. Verder is het lastig om volledige bescherming te bieden, aangezien uiteindelijk een gebruiker, onbewust de malware binnen haalt en het kwaad op dat moment vaak al is geschied en het dan lastig is om de malware te achterhalen.

Toch zijn er verschillende mogelijkheden om toch inzichtelijk te krijgen dat er ‘iets’ aan de hand is. aaZoo biedt verschillende diensten welke ongewoon gedrag op een netwerk kunnen detecteren en tevens (deels) te kunnen blokkeren. Door het monitoren van het interne netwerkverkeer met onze Smart Network Monitoring dienst zijn we bij aaZoo in staat om aan de hand van veranderende gedragspatronen te herkennen dat er een malware besmetting plaats vindt. Hier kan vervolgens actie op ondernomen worden.

Indien u uw firewall door ons laat beheren dan wordt er gebruik gemaakt van een eigen blacklist feed. Deze feed wordt gevoed uit de informatie die onze security consultants zelf verzamelen. In het geval van Bad Rabbit zijn command & control servers direct geblokkeerd in deze feeds zodat de ransomware niet meer actief kan worden.

Wilt u meer informatie? Neem dan contact met ons op!