Sebuah ransomware worm baru dikenal sebagai "Bad Rabbit," melanda lebih
dari 200 organisasi besar, terutama di Rusia dan Ukraina pekan ini
dengan memanfaatkan exploit NSA
yang dirilis oleh Shadow Brokers pada bulan April dan telah menyebar di
seluruh jaringan korban. Menurut informasi terbaru dari Cisco Talos
Security Intelligence mengungkapkan bahwa serangan tersebut disebabkan
karena Bad Rabbit ransomware yang memanfaatkan exploit EternalRomance.
NotPetya ransomware (juga dikenal sebagai ExPetr dan Nyetya) juga
berhasil melumpuhkan puluhan ribu sistem pada bulan Juni juga
memanfaatkan exploit EternalRomance, dan juga memanfaatkan exploit
Windows EternalBlue milik NSA seperti halnya yang digunakan pada
ransomware WannaCry.
Microsoft dan F-Secure juga mengkonfirmasi adanya eksploitasi Bad Rabbit. EternalRomance adalah salah satu dari banyak alat hacking yang diduga milik tim hack elit NSA yang disebut Equation Group yang dibocorkan oleh kelompok hacking terkenal yang menamakan dirinya Shadow Brokers pada bulan April tahun ini. Seiring munculnya EternalChampion, EternalBlue, EternalSynergy dan eksploitasi NSA lain yang dirilis oleh Broker Shadow, kerentanan EternalRomance juga ditambal oleh Microsoft Maret tahun ini dengan merilis sebuah buletin keamanan (MS17-010).
Menurut para peneliti, Bad Rabbit pertama memindai jaringan SMB terbuka, mencoba membuat daftar hardcoded kredensial yang biasa digunakan untuk menjatuhkan malware, dan juga menggunakan Mimikatz post-exploitation tool untuk mengekstrak kredensial dari sistem yang terpengaruh. Bad Rabbit juga dapat mengeksploitasi antarmuka scripting Windows Management Instrumentation Command-line (WMIC) dalam upaya untuk mengeksekusi kode pada sistem Windows lainnya di jaringan dari jarak jauh, seperti diinformasikan EndGame.
Namun, menurut Talos, Bad Rabbit juga membawa kode yang memanfaatkan EternalRomance, yang memungkinkan peretas jarak jauh menyebar dari komputer yang terinfeksi ke target lain dengan lebih efisien.
"Kami cukup yakin bahwa BadRabbit membawa payload EternalRomance dalam upaya untuk melancarkan serangan jarak jauh, sementara di Nyetya digunakan untuk menginstal backdoor DoublePulsar," tulis para peneliti Talos. "Kedua aktifitas yang dilakukan EternalRomance adalah untuk melakukan read/write arbitrary data ke dalam ruang memori kernel."
Microsoft dan F-Secure juga mengkonfirmasi adanya eksploitasi Bad Rabbit. EternalRomance adalah salah satu dari banyak alat hacking yang diduga milik tim hack elit NSA yang disebut Equation Group yang dibocorkan oleh kelompok hacking terkenal yang menamakan dirinya Shadow Brokers pada bulan April tahun ini. Seiring munculnya EternalChampion, EternalBlue, EternalSynergy dan eksploitasi NSA lain yang dirilis oleh Broker Shadow, kerentanan EternalRomance juga ditambal oleh Microsoft Maret tahun ini dengan merilis sebuah buletin keamanan (MS17-010).
Menurut para peneliti, Bad Rabbit pertama memindai jaringan SMB terbuka, mencoba membuat daftar hardcoded kredensial yang biasa digunakan untuk menjatuhkan malware, dan juga menggunakan Mimikatz post-exploitation tool untuk mengekstrak kredensial dari sistem yang terpengaruh. Bad Rabbit juga dapat mengeksploitasi antarmuka scripting Windows Management Instrumentation Command-line (WMIC) dalam upaya untuk mengeksekusi kode pada sistem Windows lainnya di jaringan dari jarak jauh, seperti diinformasikan EndGame.
Namun, menurut Talos, Bad Rabbit juga membawa kode yang memanfaatkan EternalRomance, yang memungkinkan peretas jarak jauh menyebar dari komputer yang terinfeksi ke target lain dengan lebih efisien.
"Kami cukup yakin bahwa BadRabbit membawa payload EternalRomance dalam upaya untuk melancarkan serangan jarak jauh, sementara di Nyetya digunakan untuk menginstal backdoor DoublePulsar," tulis para peneliti Talos. "Kedua aktifitas yang dilakukan EternalRomance adalah untuk melakukan read/write arbitrary data ke dalam ruang memori kernel."
0 comments :