OBAVJEŠTENJE ODJELJENJA ZA INFORMACIONU BEZBJEDNOST – CERT REPUBLIKE SRPSKE povodom širenja „BadRabbit“ ransomvera
Odjeljenje za informacionu bezbjednost – CERT Republike Srpske obavještava sve javne ustanove, organe uprave, fizička i pravna lica u Republici Srpskoj da je uočeno širenje virusa pod nazivom „BadRabbit“. „BadRabbit“ spada u ransomver porodicu virusa koji zaključavaju korisničke datoteke enkripcionim algoritmima. Korisnik ne može otvoriti datoteke dok ne plati hakerima otkupninu, najčešće u bitcoin-ima.
Virus se inicijalno širi u takozvanim „drive-by“ napadima kod koji hakeri u legitimne veb stranice ubace maliciozan kod koji od korisnika zahtijeva da instalira lažno ažuriranje za Adobe Flash. Datoteka je nazvana install_flash_player.exe (SHA-1 potpis: de5c8d858e6e41da715dca1c019df0bfb92d32c0).
Širenje virusa je primijećeno od strane istraživača iz kompanije Kaspersky Lab 24.10.2017. godine u popodnevnim časovima. Virus je prvo uočen u Ukrajini i Rusiji, a kasnije u zemljama EU i u SAD-u. Virus napada mreže kompanija i organizacija i zabilježeni su napadi na preko 200 kompanija. Najveći broj napada do sada je registrovan u Rusiji, Ukrajini, Njemačkoj i Turskoj.
Istraživači iz kompanije ESET su klasifikovali ovaj virus kao pod varijantu ransomvera „Petya“ koji je zarazio desetine hiljada računara krajem juna ove godine.
Nakon inicijalne infekcije virus ima mogućnost napada na druge računare u mreži. Ova varijanta slično kao i „WannaCry“ i „NotPetya“ virusi iskorištava SMBv1 ranjivost na neažuriranim Windows operativnim sistemima od kojih su ranjive sve verzije od Windows XP do Windows 10 kao i serverske edicije. Ranjivost je otklonjena u redovnom ažuriranju MS17-010, objavljenom od strane Microsoft 14. marta ove godine.
Iako do sada nisu prijavljene infekcije ove vrste unutar kibernetičkog prostora Republike Srpske, ukoliko se iste uoče, preporučujemo sljedeće korake:
- Trenutno isključiti inficirani računar sa lokalne mreže
- Obavijestiti CERT Republike Srpske putem e-mail adrese mailto:oib-cert@aidrs.org ili putem veb stranice oib.aidrs.org.
- NE PLAĆATI bitcoin otkupninu (oko 280 USD) jer ista ne garantuje povrat podataka.
Pored ovog potrebno je blokirati pristup sljedećim adresama:
- hxxp://1dnscontrol[.]com/flash_install.php
- hxxp://185.149.120[.]3/scholargoogle/
Poželjno je privremeno blokiranje legitimnih veb stranica koje hakeri koriste za širenje virusa:
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru
OIB – CERT Republike Srpske vrši aktivan nadzor nad širenjem ove infekcije i o eventualnim pojavama „BadRabbit“ ransomvera u kibernetičkom prostoru Republike Srpske, sa preporukama u vezi sanacije štete obavijestićemo javnost.
