Bad, BAD Rabbit …!

Het was slechts een kwestie van tijd voordat iemand geïnspireerd zou worden door WannaCry en NotPetya en met deze ideeën een nieuwe aanval zou uitvoeren. Het lijkt erop dat deze laatste ransomware-variant “Bad Rabbit” wordt verdeeld via een nep-Adobe File Player-installatiebestand. We zien meldingen uit Oost-Europa, vooral gericht op Rusland en Oekraïne.

Wat deze malware gevaarlijker maakt dan andere ransomware, is het vermogen om zich als een worm doorheen een organisatie te verspreiden en niet alleen via e-mail bijlagen of kwestbare web plug-ins. Het ziet er naar uit dat het wachtwoorden steelt en dezelfde verspreidingsmechanismen als NotPetya hanteert, waardoor het een onderneming kan doorlopen en die in zeer korte tijd verlammen.

SophosLabs is bezig deze gegevens verder te onderzoeken, maar heeft nu al een bescherming voor zijn klanten ingebouwd. Op dit moment deze variatie als Troj/Ransom-ERK gedetecteerd. Hou intussen rekening met onderstaand advies:

  • Hou software up-to-date met de nieuwste patches.
  • Back-up regelmatig en hou een recente back-up off-site. Er zijn tientallen andere manieren dan ransomware die bestanden plotseling kunnen doen verdwijnen (dank aan brand, overstroming, diefstal, een vallende laptop of zelfs een onbedoelde verwijdering).
  • Versleutel back-ups en u hoeft zich geen zorgen te maken over het back-up apparaat mocht dat in verkeerde handen vallen.
  • Een goede verdediging is je vriend. Criminelen proberen voortdurend beveiligingsproducten te overtreffen. Veel beschermingslagen zijn zinvol om eventuele gaten in de verdediging te overbruggen wanneer met wordt aangevallen.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Sophos Benelux)

Meer info: 00-31/162.480.240 of https://www.sophos.com.

Meer achtergrond over Bad Rabbit: https://nakedsecurity.sophos.com/2017/10/24/bad-rabbit-ransomware-outbreak/