Bad Rabbit Ransomware

Bad Rabbit apareceu pela primeira vez em outubro de 2017 visando organizações na Rússia, Ucrânia e Estados Unidos com um ataque que é basicamente um novo e melhorado NotPetya ransomware. As autoridades ucranianas atribuem o Bad Rabbit à Black Energy, o grupo de ameaça que eles também acreditam estar por trás do NotPetya. Muitos especialistas em segurança acreditam que a Black Energy opera no interesse e sob a direção do governo russo. O ataque não durou muito tempo, indicando que os próprios controladores o desligaram.

O ataque começou através de arquivos em sites de mídia russos pirateados, usando o popular truque de engenharia social de fingir ser um instalador Adobe Flash. O ransomware exige um pagamento de 0.05 bitcoin, ou cerca de $275, dando às vítimas 40 horas para pagar antes do resgate subir.

bad-rabbit-ransomware-diskcoder

Esta é basicamente a NotPetya v2.0, com melhorias significativas em relação à versão anterior. Bad Rabbit tem muitos elementos sobrepostos ao código de Petya/NotPetya, o que nos permite assumir com um alto grau de certeza que os autores por trás do ataque são os mesmos. Eles também tentaram compor sua carga útil maliciosa usando elementos roubados, entretanto, o kernel do Petya roubado foi substituído por um cripter de disco mais avançado na forma de um driver legítimo.

Nesta campanha atual, dados criptografados parecem ser recuperáveis após o pagamento do resgate, o que significa que este ataque BadRabbit não é tão destrutivo quanto o NotPetya. Eles corrigiram muitos bugs no processo de criptografia de arquivos.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit criptografa primeiro os arquivos no computador do usuário e depois substitui o MBR (Master Boot Record). Isto significa que você precisa comprar duas chaves, uma para o bootloader e outra para os próprios arquivos. Isto basicamente tijolo a máquina. Mais informações técnicas em bleepingcomputer.

Como inocular uma máquina se o seu software de endpoint não bloqueia Bad Rabbit

  • Block execution of the files c:\windows\infpub.dat and c:\Windows\cscc.dat.
  • Desactivar o serviço WMI (se for possível no seu ambiente) para evitar que o malware se espalhe pela sua rede.

Existem instruções detalhadas se estiver com pressa.

Sobre uma semana após o ataque inicial O Bad Rabbit foi descoberto como sendo um disfarce para um ataque de engenharia social mais insidioso. Campanhas de phishing dirigidas a uma série de entidades ucranianas com o objectivo de comprometer informações financeiras e outros dados sensíveis. Os investigadores acreditam que o perpetrador do Bad Rabbit e da campanha secundária de phishing são o mesmo, com o objetivo do ataque secundário de obter acesso não detectado bem depois que a campanha de resgate parou de se espalhar.

“À medida que os criminosos cibernéticos ficam mais inteligentes e sofisticados, é importante lembrar que os ataques nem sempre são o que parecem na superfície”, disse Ben Johnson, co-fundador e diretor de tecnologia da Obsidian Security, ao International Business Times. NotPetya também usou o resgate como disfarce para um ataque secundário, e isso provavelmente não é coincidência.

A sua rede é vulnerável a ataques de Ransomware?

Conheça agora com o Ransomware Simulator “RanSim” do KnowBe4, obtenha seus resultados em minutos.

Apanhe RanSim!
” De volta à Base de Conhecimento do Ransomware

Leave a Reply