Bad Rabbit ransomware napad

<font 16px/inherit;;inherit;;inherit>Od 2012. godine broj ransomware napada drastično se povečao. Pojavom kriptovaluta kao što je Bitcoin cyber kriminalci dobili su valutu kojoj je gotovo nemoguće uči u trag. O uvom seminarskom radu biti će objašnjeno što je to ransomware te kako se širi. Također biti će ukratko objašnjena povijest ransomware napada. U drugom djelu seminarskog rada biti će objašnjen Bad Rabbit ransomware napad. Na kraju seminarskog rada biti će izneseni savjeti kako se zaštititi od ransomware napada.</font>

<font 16px/inherit;;inherit;;inherit>Keywords: ransomware, malware, Bad Rabbit</font>

<font 16px/Arial,sans-serif;;inherit;;inherit>Počevši od 2012. godine broj ransomware napada znatno se povećao. Samo u prvoj polovici 2018. godine zabilježeno je više od 181 milijuna ransomware napada. Ovo predstavlja porast od 227% u odnosu na isto razdoblje prethodne godine.</font>

<font 16px/Arial,sans-serif;;inherit;;inherit>Prema izvješću tvrtke Emsisoft iz prosinca 2019. godine multinacionalni proizvođači i američki gradovi i okruzi su u 2019. godini potrošili 176 milijuna dolara u borbi protiv raznih ransomware napada. Isti izvještaj navodi da ju u 2019. godini u Sjedinjenim Američkim Državama nekim oblikom ransomware napada napadnuto najmanje 948 vladinih agencija te zdravstvenih i edukacijskih ustanova.</font>

<font 16px/Arial,sans-serif;;inherit;;inherit>Prethodno navedeni podatci ukazuju na problema sve učestalijih ransomware napada. Osnovni problem kod ransomware napada je taj što često zahvaća žrtve koje se ne znaju zaštiti od ovakvih napada. Također ransomware napadi postaju sve složeniji i lukaviji. U ovom seminarskom radu biti će objašnjeno što je to ransomware, kako se širi i kako se od njega zaštiti. Također biti će analiziran jedan konkretan tip ransomware napada koji se zove Bad Rabbit ransomware napad.</font>

<font 16px/Arial,sans-serif;;inherit;;inherit>Ransomware je naziv za skup zlonamjernih programa čiji je osnovni cilj žrtvi onemogućiti korištenje računala. Postoji širok raspon složenosti ransomware napada, od najjednostavnijih ransomware napada kod kojih je vrlo jednostavno povratiti podatke, do napada koji u potpunosti onemogućavaju rad na računalu. Danas se ransomware napadi najčešće koriste za kripto valutne iznude. Ovaj tip ransomware napada sastoji se od 3 glavna koraka. U prvom koraku napadač generira par ključeva i javni ključ postavlja u malware koji šalje žrtvi. U drugom koraku žrtva nesvjesno pokrene neželjeni malware. Pokretanjem malware-a generira se nasumični ključ koji kriptira žrtvine podatke. U trećem koraku napadač nakon što je zaprimio uplatu od žrtve šalje žrtvi ključ koji dešifrira žrtvine podatke. Za uplatu se najčešće koriste kripto valute kao što su Bitcoin ili Ukash. Razlog tome je taj što je teško pratiti tok novca u kripto valutama i na taj način uči u trag napadačima.</font>

<font 16px/Arial,sans-serif;;inherit;;inherit>Prvi poznati ransomware napad dogodio se 1989. godine. Izveo ga je Joseph Popp, a zvao se AIDS Trojan. Proširio se preko disketa koje su sadržavale upitnik koji je trebao procijeniti rizik od dobivanja AIDS-a.Nakon izvršavanja program je zaključao C particiju diska te je od žrtve zahtijevao da uplati 189 američkih dolara na račun tvrtke PC Cyborg Corporation.</font>

<font 16px/Arial,sans-serif;;inherit;;inherit>Sredinom 2006. dolazi do pojave sofisticiranijih ransomware napada koji su koristili RSA enkripcijske sheme. Neki od ovih ransomware napada su Gpcode, TROJ.RANSOM.A, Archivenus, Krotten, Cryzip, i MayArchive.</font>

<font 16px/Arial,sans-serif;;inherit;;inherit>2013. godine dolazi do ponovne pojave ransomware napada. CryptoLocker je prvi ransomware napad koji je koristio kripto valutu Bitcoin za transakcije između žrtve i napadača. Prema analizi koju je proveo ZDNet u razdoblju između 15 i 18 listopada 2013. godine CryptoLocker je iznudio 27 milijuna američkih dolara od svojih žrtava. Ovi podatci dobiveni su praćenjem informacija o Bitcoin transakcijama.</font>

<font 16px/Arial,sans-serif;;inherit;;inherit>Nakon toga pojavio se niz sličnih ransomware napada. Neki najpoznatiji ransomware napadi su Bad Rabbit, Cerber, Dharma, GandCrab, Jigsaw, Katyusha, LockerGoga, PewCrypt, Ryuk i SamSam.</font>

<font 16px/inherit;;inherit;;inherit>Nakon dva velika ransomware napada koji su se dogodili 2017. godine (WannaCry i ExPetr), 24. listopada 2017. uočen je novi ransomware napad, nazvan Bad Rabbit. Ovaj ransomware napad zapravo je nadogradnja na prethodni Petya ransomware koji je poharao Ukrajinu u sredini 2017. godine. Bad Rabbit ransomware se širio preko lažne Adobe Flash nadogradnje. Ovaj napad ciljao je organizacije, ali i privatne korisnike uglavnom na području Ruske Federacije i Ukrajine. Neke od značajnijih organizacija koje je ovaj napad zahvatio su Interfax, međunarodna zračna luka Odessa, Kijevski metro i ukrajinsko Ministarstvo infrastrukture.</font>

Slika 1. Bad Rabbit ransomware poruka

<font 16px/inherit;;inherit;;inherit>Bad Rabbit ransomware širi se preko drive-by napada. Kada korisnik posjeti legitimnu stranicu u pozadini se preuzima malware. Malware je predstavljan ako Adobe Flash nadogradnja. Nakon preuzimanja korisnik mora ručno pokrenuti maliciozni program koji kriptira podatke na računalu. Nakon što je maliciozni program zarazio računalo, operacijski sustav se ponovno poreče i pojavljuje se poruka na slici 1. Da bi se računalo dekriptiralo napadači od žrtve zahtijevaju uplatu u iznosu od 0.05 Bitcoina što iznosi približno 280 američkih dolara, tj. izraženo u kunama to iznosi otprilike 1900 HRK.</font>

<font 16px/inherit;;inherit;;inherit>Ransomware dropper se distribuira sa hxxp:1dnscontrol[.]com/flash_install.php. Nakon toga preuzima se datoteka pod imenom install_flash_player.exe koja se mora ručno pokrenuti. Da bi ransomware mogao zaraziti računalo, preko standardnog UAC prompt-a traži administrativne ovlasti. Ukoliko žrtva dodijeli programu administrativne ovlasti spremiti će se maliciozni program kao C:Windowsinfpub.dat. Nakon toga program će se pokrenuti. Na slici 2 prikazan je pseudokod instalacije malicioznog programa.</font>

Slika 2. Pseudokod instalacije malicioznog programa

<font 16px/Arial,sans-serif;;inherit;;inherit>Nakon toga infpub.dat instalira malicioznu izvršnu datoteku dispci.exe te kreira proces kojim će ju operacijski sustav pokrenuti. Pseudokod kojim se stvara i pokreće ova izvršna datoteka prikazan je na slici 3.</font>

Slika 3. Pseudokod instalacije i pokretanja maliciozne datoteke dispci.exe

<font 16px/Arial,sans-serif;;inherit;;inherit>Maliciozna datoteka dispci.exe ponaša se kao klasičan enkripcijski ransomware. Ona nalazi žrtvine datoteke pomoću ugrađene liste ekstenzija i kriptira ih pomoću napadačevog javnog RSA-2048 ključa. Na slici 4 prikazan je napadačev javni RSA ključ-2048 (lijevo) i lista ekstenzija (desno).</font>

Slika 4. Napadačev javni RSA-2048 ključ (lijevo) i lista ekstenzija (desno)

<font 16px/inherit;;inherit;;inherit>Izvršna datoteka dispci.exe je zapravo bazirana na kodu napisanom za program DiskCryptor. Dodatni zadatak ove izvršne datoteke je taj da ona osim enkripcije instalira modificiranu verziju bootloader-a te na taj način onemogućava standardni boot-up proces. Zanimljiv detalj vezan uz ovaj ransomware prikazan je na slici 5. Imena nekih stringova korištenih u ovom kodu su uzeta iz popularne televizijske serije Igra prijestolja.</font>

Slika 5. Imena stringova preuzeta iz popularne televizijske serije Igra prijestolja

<font 16px/inherit;;inherit;;inherit>Ne postoji jedinstven način zaštite od ovog tipa ransomware napada, ali postoje savjeti koju mogu pomoći. Najbolji način zaštite je osigurati da je operacijski sustav ažuriran na najnoviju inačicu. Cyber kriminalci često iskorištavaju poznate mane u operacijskim sustavima koje se svakom novom inačicom operacijskog sustava popravljaju. Drugi dobar savjet je redovito napraviti sigurnosnu kopiju podataka. Na taj način ukoliko i dođe do zaraze ovim tipom ransomware-a, podatci će ostati očuvani. Treći savjet je osigurati svoje računalo dobrim sigurnosnim sustavom koji može prepoznati maliciozne programe ovog tipa i upozoriti korisnika na njihovu prisutnosti. Četvrti i posljednji savjet je educirati se o ovakvim napadima i ne preuzimati nepoznati sadržaj s interneta.</font>

<font 16px/inherit;;inherit;;inherit>Ransomware napadi sve su češća pojava u današnjem svijetu. Uz povećanje njihovog broja raste i stupanj njihove složenosti. Ovaj seminarski rad napisan u okviru predmeta Računalna forenzika na Fakultetu elektrotehike i računarstva služi da bi se osoba koja čita ovaj rad mogla upoznati s pojmom ransomware-a te jednim programom iz ove skupine zločudnih programa zvanim Bad Rabbit. Ovaj seminarski rad također nudi određene savjete kako se zaštitit od ovakvih napada.</font>

1. <font 16px/Arial,sans-serif;;inherit;;inherit>https://en.wikipedia.org/wiki/Ransomware#Bad_Rabbit</font>
2. <font 16px/Arial,sans-serif;;inherit;;inherit>https://hr.wikipedia.org/wiki/Ransomware</font>
3. <font 16px/Arial,sans-serif;;inherit;;inherit>https://securelist.com/bad-rabbit-ransomware/82851/</font>
4. <font 16px/Arial,sans-serif;;inherit;;inherit>https://www.wired.co.uk/article/bad-rabbit-ransomware-flash-explained</font>
5. <font 16px/Arial,sans-serif;;inherit;;inherit>https://blog.trendmicro.com/bad-rabbit-ransomware-stay-safe/</font>
6. <font 16px/Arial,sans-serif;;inherit;;inherit>https://www.knowbe4.com/bad-rabbit-ransomware</font>
7. <font 16px/Arial,sans-serif;;inherit;;inherit>https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/</font>