Bad Rabbit sử dụng khai thác EternalRomance SMB RCE
Bad Rabbit không sử dụng khai thác EternalBlue (giốn mã độc WannaCry)mà lợi dụng khai thác từ xa EternalRomance RCE để phát tán trên mạng của nạn nhân. EternalRomance là một trong những công cụ hacking thuộc Cơ quan An Ninh Hoa Kì (NSA) bị rò rỉ bởi nhóm hacker Shadow Broker vào tháng 4 năm nay. EternalRomance khai thác từ xa thông qua lỗ hổng(CVE-2017-0145) trong giao thức Windows Server Message Bloc (SMB), một giao thức truyền tài dữ liệu giữa các máy tính WIndows. Lỗ hổng đã được Microsoft phát hành bản vá vào tháng 3/2017 (MS17-010).Bad Rabbit phát tán trong mạng như thế nào?
Theo các chuyên gia nghiên cứu. Bad Rabbit quét mạng nội bộ có sử dụng chia sẻ SMB, sử dụng một danh sách các thông tin đăng nhập phổ biến để đưa mã độc vào thiết bị. Ngoài ra, nó còn sử dụng một công cụ tiền khai thác Mimikartz nhằm trích xuất thông tin đăng nhập từ hệ thống. Do Bad Rabbit và NotPetya đều sử dụng chung DiskCrytor để mã hóa và phần mã chức năng xóa sạch dữ liệu trên ổ đĩa cứng, các chuyên gia cho rằng cả hai loại mã độc này do một nhóm tin tặc đứng đằng sau. Nhóm tin tặc này còn liên quan đến một số vụ tấn công diện rộng trước đó tại Nga.Các bảo vệ trước tấn công ransomware
- Vô hiệu hóa dịch vụ WMI nhằm ngăn chặn mã độc lây lan trong mạng.
- Luôn cập nhật phần mềm diệt virus trên hệ thống
- Cảnh giác trước các email lừa đảo, các trang quảng cáo, ứng dụng và phần mềm bên thứ ba.
- Sao lưu dữ liệu định kì và lưu trữ bản sao lưu trong ổ cứng rời không thường xuyên kết nối với máy tính.
THN
