{"id":14652,"date":"2017-10-24T10:10:50","date_gmt":"2017-10-24T08:10:50","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=14652"},"modified":"2019-11-22T11:09:45","modified_gmt":"2019-11-22T09:09:45","slug":"bad-rabbit-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/bad-rabbit-ransomware\/14652\/","title":{"rendered":"Bad Rabbit: Otra epidemia de ransomware al alza"},"content":{"rendered":"

La publicaci\u00f3n se actualizar\u00e1 conforme nuestros expertos vayan descubriendo nueva informaci\u00f3n sobre el malware<\/i><\/b>.<\/p>\n

Este a\u00f1o ya hemos vivido dos ataques de ransomware<\/i>, el de WannaCry<\/a> y el de ExPetr<\/a> (tambi\u00e9n conocidos como Petya y NotPetya), y, al parecer, tenemos un tercer ataque a la vista: el nuevo malware<\/i> se llama Bad Rabbit, o al menos ese es el nombre que dan en la web de la darknet<\/i> a la que enlaza su nota de rescate.<\/p>\n

Lo que se sabe hasta ahora es que el ransomware<\/i> Bad Rabbit ha infectado varios medios de comunicaci\u00f3n rusos; la agencia de noticias Interfax y Fontanka.ru se encuentran entre las v\u00edctimas de este malware<\/i>. El Aeropuerto Internacional de Odesa ha informado de un ciberataque en su sistema de informaci\u00f3n, aunque a\u00fan no est\u00e1 claro que se trate del mismo ataque.<\/p>\n

Los delincuentes responsables del ataque Bad Rabbit piden 0,05 bitcoins como rescate, unos 280 d\u00f3lares con el cambio actual.<\/p>\n

\"\"<\/p>\n

De acuerdo con nuestros hallazgos, el ataque no usa exploits, sino que se trata de un ataque drive-by<\/i>: las v\u00edctimas descargan un instalador falso de Adobe Flash desde una web infectada y ejecutan el archivo .exe ellos mismos. Nuestros investigadores han detectado varias p\u00e1ginas web comprometidas, todas de prensa.<\/p>\n

Todav\u00eda no se sabe si es posible recuperar los archivos que ha cifrado Bad Rabbit (ya sea pagando el rescate o mediante alg\u00fan error en el c\u00f3digo del ransomware<\/i>). Los expertos de Kaspersky Lab est\u00e1n investigando el ataque y actualizar\u00e1n esta publicaci\u00f3n con sus conclusiones.<\/p>\n

De acuerdo con nuestros datos, muchas de las v\u00edctimas de estos ataques est\u00e1n en Rusia. Tambi\u00e9n hemos visto ataques similares, aunque pocos, en Ucrania, Turqu\u00eda y Alemania. Este ransomware<\/i> ha infectado los dispositivos mediante varias webs rusas de prensa que han sido hackeadas<\/i>.<\/p>\n

Los analistas de Kaspersky Lab han descubierto que el ataque ransomware Bad Rabbit tiene una clara conexi\u00f3n con el ataque de ExPetr que tuvo lugar el pasado mes de junio de este a\u00f1o.<\/p>\n

Seg\u00fan su an\u00e1lisis, el algoritmo hash utilizado en el ataque es similar al utilizado por ExPetr.\u00a0 Adem\u00e1s, los expertos han detectado que ambos ataques utilizan los mismos dominios; y las similitudes en los respectivos c\u00f3digos fuente indican que el nuevo ataque est\u00e1 ligado a los creadores de ExPetr.<\/p>\n

Al igual que exPetr, Bad Rabbit intenta hacerse con credenciales de la memoria del sistema y difundirse dentro de la red corporativa por WMIC. Sin embargo, los analistas no han encontrado los exploits EternalBlue o EternalRomance en el ataque del Bad Rabbit; ambos utilizados en ExPetr.<\/p>\n

La investigaci\u00f3n muestra que los ciberatacantes que est\u00e1n tras esta operaci\u00f3n se han estado preparando al menos desde julio de 2017, creando su red de infecci\u00f3n en sitios hackeados, principalmente medios de comunicaci\u00f3n y recursos de informaci\u00f3n de noticias.<\/p>\n

Puedes encontrar m\u00e1s informaci\u00f3n t\u00e9cnica en esta publicaci\u00f3n de Securelist<\/a>.<\/p>\n

Los productos de Kaspersky Lab detectan el ataque con la siguiente denominaci\u00f3n:<\/p>\n

UDS:DangerousObject.Multi.Generic (si lo detecta Kaspersky Security Network) y PDM:Trojan.Win32.Generic (si lo detecta System Watcher).<\/p>\n\n

Para evitar ser una v\u00edctima de Bad Rabbit:<\/p>\n

Los usuarios de los productos de Kaspersky Lab deben:<\/p>\n