Sebuah ransomware worm baru dikenal sebagai "Bad Rabbit," melanda lebih dari 200 organisasi besar, terutama di Rusia dan Ukraina pekan ini dengan memanfaatkan exploit NSA yang dirilis oleh Shadow Brokers pada bulan April dan telah menyebar di seluruh jaringan korban. Menurut informasi terbaru dari Cisco Talos Security Intelligence mengungkapkan bahwa serangan tersebut disebabkan karena Bad Rabbit ransomware yang memanfaatkan exploit EternalRomance. NotPetya ransomware (juga dikenal sebagai ExPetr dan Nyetya) juga berhasil melumpuhkan  puluhan ribu sistem pada bulan Juni juga memanfaatkan exploit EternalRomance, dan juga memanfaatkan exploit Windows EternalBlue milik NSA seperti halnya yang digunakan pada ransomware WannaCry.


Microsoft dan F-Secure juga mengkonfirmasi adanya eksploitasi Bad Rabbit. EternalRomance adalah salah satu dari banyak alat hacking yang diduga milik tim hack elit NSA yang disebut Equation Group yang dibocorkan oleh kelompok hacking terkenal yang menamakan dirinya Shadow Brokers pada bulan April tahun ini. Seiring munculnya EternalChampion, EternalBlue, EternalSynergy dan eksploitasi NSA lain yang dirilis oleh Broker Shadow, kerentanan EternalRomance juga ditambal oleh Microsoft Maret tahun ini dengan merilis sebuah buletin keamanan (MS17-010).

Menurut para peneliti, Bad Rabbit pertama memindai jaringan SMB terbuka, mencoba membuat daftar hardcoded kredensial yang biasa digunakan untuk menjatuhkan malware, dan juga menggunakan Mimikatz post-exploitation tool untuk mengekstrak kredensial dari sistem yang terpengaruh. Bad Rabbit juga dapat mengeksploitasi antarmuka scripting Windows Management Instrumentation Command-line (WMIC) dalam upaya untuk mengeksekusi kode pada sistem Windows lainnya di jaringan dari jarak jauh, seperti diinformasikan EndGame.

Namun, menurut Talos, Bad Rabbit juga membawa kode yang memanfaatkan EternalRomance, yang memungkinkan peretas jarak jauh menyebar dari komputer yang terinfeksi ke target lain dengan lebih efisien.

    "Kami cukup yakin bahwa BadRabbit membawa payload EternalRomance dalam upaya untuk melancarkan serangan jarak jauh, sementara di Nyetya digunakan untuk menginstal backdoor DoublePulsar," tulis para peneliti Talos. "Kedua aktifitas yang dilakukan EternalRomance adalah untuk melakukan read/write arbitrary data ke dalam ruang memori kernel."
 
Top