Brote de ransomware Bad Rabbit: lo que necesita saber

Cuando se supo la noticia del tercer gran brote de ransomware del año, hubo mucha confusión. Ahora que el polvo se ha asentado, podemos investigar qué es exactamente «Bad Rabbit».

Según los informes de los medios, muchas computadoras se han cifrado con este ciberataque. Fuentes públicas han confirmado que los sistemas informáticos del metro de Kiev junto con el aeropuerto de Odessa y otras numerosas organizaciones de Rusia se han visto afectados. El malware utilizado para este ciberataque fue «Disk Coder.D», una nueva variante del ransomware que se ejecutaba popularmente con el nombre de «Petya». El ciberataque anterior de Disk Coder dejó daños a escala mundial en junio de 2017.

El sistema de telemetría de ESET ha informado de numerosas apariciones de Disk Coder. D dentro de Rusia y Ucrania, sin embargo, hay detecciones de este ciberataque en computadoras de Turquía, Bulgaria y algunos otros países también.

Los investigadores de seguridad de ESET están trabajando actualmente en un análisis exhaustivo de este malware. Según sus hallazgos preliminares, Disk Coder. D usa la herramienta Mimikatz para extraer las credenciales de los sistemas afectados. Sus hallazgos y análisis están en curso, y lo mantendremos informado tan pronto como se revelen más detalles.

El sistema de telemetría de ESET también informa que Ucrania representa solo el 12,2% del número total de veces que vieron la infiltración de Bad Rabbit. A continuación se muestran las estadísticas restantes:

Rusia: 65%

Ucrania: 12,2%

Bulgaria: 10,2%

Turquía: 6,4%

Japón: 3,8%

Otro: 2,4%

En consecuencia, Bad Rabbit comprometió la distribución de países. Curiosamente, todos estos países se vieron afectados al mismo tiempo. Es muy probable que el grupo ya tuviera su pie dentro de la red de las organizaciones afectadas.

Definitivamente es ransomware

Los desafortunados que fueron víctimas del ataque se dieron cuenta rápidamente de lo que había sucedido porque el ransomware no es sutil: presenta a las víctimas una nota de rescate que les dice que sus archivos «ya no son accesibles» y «nadie podrá recuperarlos sin nuestro servicio de descifrado «. Las víctimas son dirigidas a una página de pago de Tor y se les presenta un temporizador de cuenta atrás. Pague dentro de las primeras 40 horas más o menos, se les dice, y el pago por descifrar archivos es 0.05 bitcoin, alrededor de $ 285. A aquellos que no pagan el rescate antes de que el temporizador llegue a cero se les dice que la tarifa aumentará y tendrán que pagar más. El cifrado utiliza DiskCryptor, que es un software legítimo de código abierto que se utiliza para el cifrado completo de la unidad. Las claves se generan mediante CryptGenRandom y luego se protegen mediante una clave pública RSA 2048 codificada.

Está basado en Petya / Not Petya

Si la nota de rescate parece familiar, es porque es casi idéntica a la que vieron las víctimas del brote de Petya en junio. Las similitudes tampoco son solo cosméticas: Bad Rabbit también comparte elementos detrás de escena con Petya.

El análisis realizado por investigadores de Crowdstrike ha encontrado que Bad Rabbit y la DLL (biblioteca de enlaces dinámicos) de NotPetya comparten el 67 por ciento del mismo código, lo que indica que las dos variantes de ransomware están estrechamente relacionadas, potencialmente incluso el trabajo del mismo actor de amenazas.

El ataque ha afectado a organizaciones de alto perfil en Rusia y Europa del Este.

Los investigadores han encontrado una larga lista de países que han sido víctimas del brote, incluidos Rusia, Ucrania, Alemania, Turquía, Polonia y Corea del Sur. Tres organizaciones de medios en Rusia, así como la agencia de noticias rusa Interfax, han declarado «ataques de piratas informáticos» o malware de cifrado de archivos, que la campaña ha puesto fuera de línea. Otras organizaciones de alto perfil en las regiones afectadas incluyen el Aeropuerto Internacional de Odessa y el Metro de Kiev. Esto ha llevado a Computer Emergency Response de Ucrania a publicar que se había producido «el posible inicio de una nueva ola de ciberataques a los recursos de información de Ucrania».

Puede haber tenido objetivos seleccionados

Cuando se rompió WannaCry, los sistemas de todo el mundo se vieron afectados por un aparente ataque indiscriminado. Bad Rabbit, por otro lado, podría haberse dirigido a redes corporativas.

Los investigadores de ESET han respaldado esta idea, afirmando que el script inyectado en los sitios web infectados puede determinar si el visitante es de interés y luego agregar la página de contenido, si el objetivo se considera adecuado para la infección.

Se propaga a través de una actualización Flash falsa en sitios web comprometidos.

La principal forma en que Bad Rabbit se propaga son las descargas no autorizadas en sitios web pirateados. No se utilizan exploits, sino que a los visitantes de sitios web comprometidos, algunos de los cuales se han visto comprometidos desde junio, se les dice que necesitan instalar una actualización Flash. Por supuesto, esta no es una actualización de Flash, sino un cuentagotas para la instalación maliciosa. Los sitios web infectados, en su mayoría basados ​​en Rusia, Bulgaria y Turquía, se ven comprometidos al tener JavaScript inyectado en su cuerpo HTML o en uno de sus archivos .js.

Puede extenderse lateralmente a través de redes.

Al igual que Petya, el ataque Bad Rabbit Ransomware contiene un componente SMB que le permite moverse lateralmente a través de una red infectada y propagarse sin la interacción del usuario.

La propagación de Bad Rabbit se facilita mediante combinaciones simples de nombre de usuario y contraseña que puede explotar para abrirse camino a través de las redes. Esta lista de contraseñas débiles son las contraseñas fáciles de adivinar que se ven a menudo, como combinaciones 12345 o tener una contraseña configurada como «contraseña».

No usa EternalBlue

Cuando apareció Bad Rabbit por primera vez, algunos sugirieron que, como WannaCry, explotó el exploit EternalBlue para propagarse. Sin embargo, este no parece ser el caso ahora. «Actualmente no tenemos evidencia de que el exploit EternalBlue se esté utilizando para propagar la infección», dijo a ZDNet Martin Lee, Líder Técnico de Investigación de Seguridad en Talos.

Contiene referencias de Juego de Tronos.

Quien esté detrás de Bad Rabbit, parece ser un fanático de Game of Thrones: el código contiene referencias a Viserion, Drogon y Rhaegal, los dragones que aparecen en las series de televisión y las novelas en las que se basa. Por lo tanto, los autores del código no están haciendo mucho para cambiar la imagen estereotipada de que los piratas informáticos son geeks y nerds.

Hay pasos que puede seguir para mantenerse a salvo

En este momento, nadie sabe si todavía es posible descifrar archivos que están bloqueados por Bad Rabbit. Algunos podrían sugerir pagar el rescate y ver qué pasa … Mala idea.

Es bastante razonable pensar que pagar casi $ 300 vale la pena pagar por lo que podrían ser archivos muy importantes e invaluables, pero pagar el rescate casi nunca resulta en recuperar el acceso, ni ayuda en la lucha contra el ransomware: un atacante seguirá apuntando mientras están viendo retornos.

Varios proveedores de seguridad dicen que sus productos protegen contra Bad Rabbit. Pero para aquellos que quieren estar seguros de no ser víctimas del ataque, Kaspersky Lab dice que los usuarios pueden bloquear la ejecución del archivo ‘c: windows infpub.dat, C: Windows cscc.dat’. para prevenir infecciones.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *