Bad Rabbit: Otra epidemia de ransomware al alza

24 Oct 2017

La publicación se actualizará conforme nuestros expertos vayan descubriendo nueva información sobre el malware.

Este año ya hemos vivido dos ataques de ransomware, el de WannaCry y el de ExPetr (también conocidos como Petya y NotPetya), y, al parecer, tenemos un tercer ataque a la vista: el nuevo malware se llama Bad Rabbit, o al menos ese es el nombre que dan en la web de la darknet a la que enlaza su nota de rescate.

Lo que se sabe hasta ahora es que el ransomware Bad Rabbit ha infectado varios medios de comunicación rusos; la agencia de noticias Interfax y Fontanka.ru se encuentran entre las víctimas de este malware. El Aeropuerto Internacional de Odesa ha informado de un ciberataque en su sistema de información, aunque aún no está claro que se trate del mismo ataque.

Los delincuentes responsables del ataque Bad Rabbit piden 0,05 bitcoins como rescate, unos 280 dólares con el cambio actual.

De acuerdo con nuestros hallazgos, el ataque no usa exploits, sino que se trata de un ataque drive-by: las víctimas descargan un instalador falso de Adobe Flash desde una web infectada y ejecutan el archivo .exe ellos mismos. Nuestros investigadores han detectado varias páginas web comprometidas, todas de prensa.

Todavía no se sabe si es posible recuperar los archivos que ha cifrado Bad Rabbit (ya sea pagando el rescate o mediante algún error en el código del ransomware). Los expertos de Kaspersky Lab están investigando el ataque y actualizarán esta publicación con sus conclusiones.

De acuerdo con nuestros datos, muchas de las víctimas de estos ataques están en Rusia. También hemos visto ataques similares, aunque pocos, en Ucrania, Turquía y Alemania. Este ransomware ha infectado los dispositivos mediante varias webs rusas de prensa que han sido hackeadas.

Los analistas de Kaspersky Lab han descubierto que el ataque ransomware Bad Rabbit tiene una clara conexión con el ataque de ExPetr que tuvo lugar el pasado mes de junio de este año.

Según su análisis, el algoritmo hash utilizado en el ataque es similar al utilizado por ExPetr.  Además, los expertos han detectado que ambos ataques utilizan los mismos dominios; y las similitudes en los respectivos códigos fuente indican que el nuevo ataque está ligado a los creadores de ExPetr.

Al igual que exPetr, Bad Rabbit intenta hacerse con credenciales de la memoria del sistema y difundirse dentro de la red corporativa por WMIC. Sin embargo, los analistas no han encontrado los exploits EternalBlue o EternalRomance en el ataque del Bad Rabbit; ambos utilizados en ExPetr.

La investigación muestra que los ciberatacantes que están tras esta operación se han estado preparando al menos desde julio de 2017, creando su red de infección en sitios hackeados, principalmente medios de comunicación y recursos de información de noticias.

Puedes encontrar más información técnica en esta publicación de Securelist.

Los productos de Kaspersky Lab detectan el ataque con la siguiente denominación:

UDS:DangerousObject.Multi.Generic (si lo detecta Kaspersky Security Network) y PDM:Trojan.Win32.Generic (si lo detecta System Watcher).

Para evitar ser una víctima de Bad Rabbit:

Los usuarios de los productos de Kaspersky Lab deben:

  • Asegurarse de que tienen activados tanto System Watcher como Kaspersky Security Network. En el caso de que no, es muy importante activar dichas características.

Otros usuarios deben:

  • Bloquear la ejecución de los archivos c:\windows\infpub.dat y c:\Windows\cscc.dat.
  • Desactivar el servicio WMI (si es posible en tu entorno) para prevenir que el malware se extienda por tu red.

Consejos para todos:

  • Hacer copias de seguridad de los datos.
  • No pagar el rescate.