Nuevamente el mundo ha sido víctima de un ataque de ransomware, dejando en evidencia las vulnerabilidades de los sistemas informáticos, sistemas desactualizados, falta de soluciones de seguridad y la falta de un plan proactivo para evitar una infección.
Este año hemos sido testigos de dos ataques ransomware a gran escala, después de los peligrosos WannaCry y ExPetr (conocido como Petya o NotPetya), en esta oportunidad un tercer ataque está provocando pesadillas en algunos países, como Rusia, Ucrania y Alemania, el nuevo malware se llama Bad Rabbit, al menos, ese es el nombre indicado por el sitio web darknet vinculado en la nota de rescate.
Hasta el momento el ataque es calificado como algo sin precedentes, las víctimas confirmadas incluyen el aeropuerto de Odessa, el sistema de ferrocarril subterráneo de Kiev y el Ministerio de Infraestructuras en Ucrania; asi como también las agencias de noticias de Rusia, Interfax y Fontanka.
El equipo CERT de Ucrania ha publicado una alerta y está advirtiendo empresas ucranianas sobre este nuevo brote.
Una vez que Bad Rabbit ha infectado el equipo, reinicia el sistema del usuario, que queda atascado en la nota de rescate. La nota de rescate es casi idéntica a la utilizada por NotPetya, en el brote de junio.
Nota de rescate ransomware Bad Rabbit
La velocidad con la que se extiende Bad Rabbit es similar a los brotes WannaCry y NotPetya que han afectado en mayo y junio del 2017. La firma de ciberseguridad ESET también identificó casos de Bad Rabbit en Japón y Bulgaria. Avast confirma que el ransomware se ha detectado en los EE. UU. Según sus datos Kapersky también confirma ataques similares pero en menor grado en Ucrania, Turquía y Alemania.
El ataque no usa exploits. Es un ataque drive-by: varios grupos de ciberseguridad, incluyendo a los de Karspersky Labs, ESET y Proofpoint, han declarado que las víctimas descargan un instalador falso de Adobe Flash de sitios web infectados y lanzan manualmente el archivo .exe, infectándose así mismos.
Segun las empresas de seguridad ESET en el caso del Metro de Kiev, el malware utilizado para el ciberataque es Diskcoder.D, una nueva variante de ransomware conocida también como Petya. La variante anterior de Diskcoder se utilizó en un ciberataque dañino a escala global en junio de 2017.
Basado en el análisis por ESET, Emsisoft y Fox-IT, Bad Rabbit utiliza Mimikatz y una lista de credenciales no modificables para acceder a servidores y estaciones de trabajo en la misma red a través de SMB y WebDAV.
Aún no se sabe si es posible recuperar archivos cifrados por Bad Rabbit (ya sea pagando el rescate o utilizando alguna falla en el código ransomware). Por lo pronto ESET asegura a sus clientes están protegidos contra esta amenaza. Hasta el momento 51 / 66 de los sistemas de AntiVirus mas populares ya detectan el malware.
ARCHIVOS QUE CIFRA EL RANSOMWARE BAD RABBIT
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zipEl código fuente de Bad Rabbit también contiene varias referencias a personajes de Juego de Tronos
El investigador Kevin Beaumont ha publicado una captura de pantalla, evidenciando que Bad Rabbit crea tareas en los dispositivos que infecta con nombres en alegoría a Games of Thrones, la popular saga de HBO.
Fuente: Kaspersky
Eset
clasesordenador
