Beveiligingsonderzoekers: ‘Verspreiding van Bad Rabbit ransomware is gestopt’

De servers die werden gebruikt voor de verspreiding van de Bad Rabbit ransomware zijn offline. De verspreiding van de ransomware is hierdoor gestopt.

Dit melden onderzoekers van de beveiligingsbedrijven FireEye, ESET, McAfee, Avira, en Kaspersky Lab aan Motherboard. Bad Rabbit zorgde onder meer in Oekraïne en Rusland voor flinke problemen. Zo werden de internationale luchthaven in het Oekraïense stad en het Russische persbureau Interfax getroffen door de ransomware. De makers van de ransomware eisten 300 dollar losgeld van om een getroffen systeem en de data hierop weer toegankelijk te maken.

Servers offline

De ransomware werd verspreid via gehackte websites, waarop een valse melding werd getoond dat gebruikers een update voor Adobe Flash moesten installeren. Wie dit deed, kreeg in de praktijk echter de malware Bad Rabbit geserveerd. De malware werd aangeboden vanaf een aantal servers die onder controle stonden van de aanvallers. Deze servers zijn nu offline, melden de beveiligingsonderzoekers. Onderzoekers van McAfee geven aan te vermoeden dat de servers door de aanvallers zelf offline zijn gehaald.

Lead security researcher Marc-Etienne M. Léveillé van ESET waarschuwt overigens dat sommige websites die door de aanvallers werden misbruikt om de valse Adobe Flash-melding te verspreiden nog niet zijn opgeschoond. Indien de servers die Bad Rabbit serveren opnieuw worden geactiveerd, zouden de aanvallers de verspreiding van de malware dan ook weer eenvoudig kunnen opstarten.

Rusland telt de meeste besmettingen

Symantec meldt het overgrote deel van de infecties met Bad Rabbit plaatsvonden in de eerste twee uur nadat Bad Rabbit opdook. De meeste slachtoffers van de ransomware zouden zich in Rusland bevinden.