众多安全公司表示,这次的Bad Rabbit或与NotPetya有关

看点 作者:HackerEye 2017-10-27 03:31:57 阅读:735
已经有很多安全公司确认,昨日大规模爆发的 Bad Rabbit 和今年六月底的 NotPetya 有很大的关联。 到目前为止,已经有 Bitdefender, Cisco Talos, ESET, Group IB, Intezer Labs, Kaspersky Lab, Malwarebytes, 和安全研究员 Bart Parys 都已经发布相关报告揭示二者之间的联系。 思科的研究人员表示: Bad Rabbit 和 NotPetya 是有相似之处的,因为它们都是在 Petya 的基础上演进的,但代码的主要部分已经被重写了。 众多安全公司表示,这次的 Bad Rabbit 或与 NotPetya 有关 今年六月,ESET 就将 NotPetya 和去年和前年年底攻克乌克兰电网的TeleBots网络间谍组织联系起来了。 其背后的团队从 2007 年以来就一直活跃着,并且使用很多的假名掩盖自己,如Sandworm,BlackEnergy 和最近的 TeleBots ,还有很少人知道的 Electrum,TEMP.Noble 和 Quedagh 。 最让 TeleBots 出名还是那次对乌克兰的攻击事件,当时许多人都怀疑该组织是在俄罗斯境外运作的,并听命于俄罗斯当局。因为黑客是在俄罗斯吞并克里马亚(克里米亚以前是乌克兰的领土)之后才攻击乌克兰的。 6 月,TeleBots 的攻击节奏也变快了,当时爆发了大规模的 NotPetya 勒索事件,乌克兰用户在总的受害者比例中占了 60% 到 70%。 再说回这次的 Bad Rabbit ,情况就有点不一样了,虽然俄罗斯是这次攻击的重灾区(受害者高达70%),但对比乌克兰来说影响的效果并不大,因为乌克兰的被攻击目标都是一些非常重要的组织,比如机场,地铁系统和政府机构。 此次攻击,黑客筹划了几个月 虽然很多研究人员都对 Bad Rabbit 的源码进行了分析,但还是有很多报告关注此次攻击背后的准备工作。 根据RiskIQ and Kaspersky Lab的研究人员所说,在 Bad Rabbit 活跃之前,最初黑客花费了几个月的时间来对网站进行攻击,并将虚假 Flash Player 升级提示代码植入这些网站中。 而只有像 TeleBots 这样的国家级黑客才可能会浪费 3 到 4 个月的时间来做准备工作。 并且 RiskIQ 还表示,有一些网站在去年就已经被攻击了,这也表明这些攻击者可能不只是一个组织。 研究人员表示Bad Rabbit 很可能只是一个烟雾弹 这也可以证明很多研究人员都将 Bad Rabbit 看成一个烟雾弹,它的出现是为了吸引大众视线,从而掩盖其他更危险的攻击。 专家认为,虽然调查人员都在研究这次攻击的技术底层,但是 TeleBots 还可能会悄悄地从这些敏感目标中(机场,地铁,政府机构)窃取到数据。而且他们还可能部署一个新的勒索软件来转移视线,销毁以前未被发现的入侵证据。 使用勒索软件来声东击西还是一个很新的概念,但是已经有现实中的例子了。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接