Bad Rabbit Ransomware

Bad Rabbit apareció por primera vez en octubre de 2017 dirigiéndose a organizaciones de Rusia, Ucrania y Estados Unidos con un ataque que es básicamente un nuevo y mejorado ransomware NotPetya. Las autoridades ucranianas atribuyen Bad Rabbit a Black Energy, el grupo de amenazas que también creen que está detrás de NotPetya. Muchos expertos en seguridad creen que Black Energy opera en interés y bajo la dirección del gobierno ruso. El ataque no duró mucho tiempo, lo que indica que los controladores lo cerraron ellos mismos.

El ataque comenzó a través de archivos en sitios web de medios de comunicación rusos hackeados, utilizando el popular truco de ingeniería social de fingir ser un instalador de Adobe Flash. El ransomware exige un pago de 0,05 bitcoin, o unos 275 dólares, dando a las víctimas 40 horas para pagar antes de que el rescate suba.

bad-rabbit-ransomware-diskcoder

Esto es básicamente NotPetya v2.0, con mejoras significativas sobre la versión anterior. Bad Rabbit tiene muchos elementos que se solapan con el código de Petya/NotPetya, por lo que podemos asumir con un alto grado de certeza que los autores detrás del ataque son los mismos. También intentaron componer su carga útil maliciosa utilizando elementos robados, sin embargo, el kernel robado de Petya ha sido sustituido por un criptor de disco más avanzado en forma de controlador legítimo.

En esta campaña actual, los datos encriptados parecen ser recuperables después de pagar el rescate, lo que significa que este ataque BadRabbit no es tan destructivo como NotPetya. Han corregido muchos errores en el proceso de cifrado de archivos.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit primero cifra los archivos en el ordenador del usuario y luego reemplaza el MBR (Master Boot Record). Esto significa que hay que comprar dos claves, una para el gestor de arranque y otra para los propios archivos. Esto básicamente bloquea la máquina. Más información técnica en bleepingcomputer.

Cómo inocular una máquina si su software de punto final no bloquea a Bad Rabbit

  • Bloquee la ejecución de los archivos c:\windows\infpub.dat y c:\Windows\cscc.dat.
  • Desactiva el servicio WMI (si es posible en tu entorno) para evitar que el malware se propague por tu red.

Aquí tienes las instrucciones detalladas si tienes prisa.

Alrededor de una semana después del ataque inicial se descubrió que Bad Rabbit era una tapadera para un ataque de ingeniería social más insidioso. Las campañas de phishing dirigidas a una serie de entidades ucranianas pretendían comprometer la información financiera y otros datos sensibles. Los investigadores creen que el autor de Bad Rabbit y de la campaña de phishing secundaria es el mismo, con el objetivo del ataque secundario de obtener acceso sin ser detectado mucho después de que la campaña de ransomware dejara de propagarse.

«A medida que los ciberdelincuentes se vuelven más inteligentes y sofisticados, es importante recordar que los ataques no siempre son lo que parecen en la superficie», dijo Ben Johnson, cofundador y director de tecnología de Obsidian Security, a International Business Times. NotPetya también utilizó el ransomware como cobertura para un ataque secundario, y probablemente no sea una coincidencia.

¿Es su red vulnerable a los ataques de ransomware?

Averígüelo ahora con el simulador de ransomware «RanSim» de KnowBe4, obtenga sus resultados en minutos.

¡Obtenga RanSim!
» Volver a la base de conocimientos sobre ransomware

Leave a Reply