快讯 | 众多安全公司表示,这次的Bad Rabbit或与NotPetya有关

2017-10-26 215748人围观 ,发现 3 个不明物体 资讯

已经有很多安全公司确认,昨日大规模爆发的 Bad Rabbit 和今年六月底的 NotPetya 有很大的关联。

到目前为止,已经有 Bitdefender, Cisco Talos, ESET, Group IB, Intezer Labs, Kaspersky Lab, Malwarebytes, 和安全研究员 Bart Parys 都已经发布相关报告揭示二者之间的联系。

思科的研究人员表示:

Bad Rabbit 和 NotPetya 是有相似之处的,因为它们都是在 Petya 的基础上演进的,但代码的主要部分已经被重写了。

坏兔子或与 TeleBots 有关

众多安全公司表示,这次的 Bad Rabbit 或与 NotPetya 有关

今年六月,ESET 就将 NotPetya 和去年和前年年底攻克乌克兰电网的TeleBots网络间谍组织联系起来了。

其背后的团队从 2007 年以来就一直活跃着,并且使用很多的假名掩盖自己,如Sandworm,BlackEnergy 和最近的 TeleBots ,还有很少人知道的 Electrum,TEMP.Noble 和 Quedagh 。

最让 TeleBots 出名还是那次对乌克兰的攻击事件,当时许多人都怀疑该组织是在俄罗斯境外运作的,并听命于俄罗斯当局。因为黑客是在俄罗斯吞并克里马亚(克里米亚以前是乌克兰的领土)之后才攻击乌克兰的。

6 月,TeleBots 的攻击节奏也变快了,当时爆发了大规模的 NotPetya 勒索事件,乌克兰用户在总的受害者比例中占了 60% 到 70%。

再说回这次的 Bad Rabbit ,情况就有点不一样了,虽然俄罗斯是这次攻击的重灾区(受害者高达70%),但对比乌克兰来说影响的效果并不大,因为乌克兰的被攻击目标都是一些非常重要的组织,比如机场,地铁系统和政府机构

此次攻击,黑客筹划了几个月

虽然很多研究人员都对 Bad Rabbit 的源码进行了分析,但还是有很多报告关注此次攻击背后的准备工作。

根据RiskIQ and Kaspersky Lab的研究人员所说,在 Bad Rabbit 活跃之前,最初黑客花费了几个月的时间来对网站进行攻击,并将虚假 Flash Player 升级提示代码植入这些网站中。

而只有像 TeleBots 这样的国家级黑客才可能会浪费 3 到 4 个月的时间来做准备工作。

并且 RiskIQ 还表示,有一些网站在去年就已经被攻击了,这也表明这些攻击者可能不只是一个组织。

研究人员表示Bad Rabbit 很可能只是一个烟雾弹

这也可以证明很多研究人员都将 Bad Rabbit 看成一个烟雾弹,它的出现是为了吸引大众视线,从而掩盖其他更危险的攻击。

专家认为,虽然调查人员都在研究这次攻击的技术底层,但是 TeleBots 还可能会悄悄地从这些敏感目标中(机场,地铁,政府机构)窃取到数据。而且他们还可能部署一个新的勒索软件来转移视线,销毁以前未被发现的入侵证据。

使用勒索软件来声东击西还是一个很新的概念,但是已经有现实中的例子了。

*参考来源:bleepingcomputer ,FB小编 Liki 编译,转载请注明来自FreeBuf.COM

相关推荐
发表评论

已有 3 条评论

取消
Loading...

特别推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php