¿Qué es el ransomware Bad Rabbit?

El ransomware Bad Rabbit tiene similitudes con Not Petya pero no se ha extendido mucho más allá de Rusia y Ucrania

La nueva variedad de ransomware, denominada Bad Rabbit, se vio por primera vez el 24 de octubre. Hasta la fecha, los sistemas atacados se han limitado principalmente a Rusia y Ucrania. El ransomware es la tercera propagación importante de malware este año: sigue las cepas de código malicioso WannaCry y NotPetya de mayor alcance. Esto es lo que sabemos sobre Bad Rabbit hasta ahora.

Entonces, ¿qué es el conejo malo?

El ransomware Bad Rabbit se propaga a través de “ataques automáticos” en los que sitios web inseguros se ven comprometidos. “Mientras el objetivo está visitando un sitio web legítimo, se está descargando un cuentagotas de malware de la infraestructura del actor de amenazas”, según el análisis de Kaspersky Labs.

En este caso, el malware está disfrazado como un instalador de Adobe Flash. Cuando se abre el archivo de aspecto inocente, comienza a bloquear la computadora infectada. La descarga de Flash se ha instalado en sitios web que utilizan JavaScript inyectado en los archivos HTML o Java de los sitios web afectados. El malware no se instala automáticamente, lo que significa que se debe hacer clic para que funcione.

Si una persona hace clic en el instalador malicioso, y dada la cantidad de actualizaciones Flash emitidas, es muy probable, su computadora se bloquea. La nota de rescate y la página de pago exigen alrededor de $ 280 en Bitcoin y ofrece un plazo de 40 horas para que se realicen los pagos. El software DiskCryptor se utiliza para cifrar discos duros.

¿A quién ha estado golpeando?

A diferencia de WannaCry y NotPetya, Bad Rabbit no se ha extendido ampliamente. La mayoría de los incidentes se han registrado en Rusia y Ucrania. Según la compañía de seguridad Eset, que publicó una publicación de blog en Bad Rabbit, hay varios dominios rusos (.ru) que se han visto afectados. Kaspersky agrega que “todos” los sitios web comprometidos que ha visto han sido noticias o medios de comunicación.

“La mayoría de los objetivos se encuentran en Rusia”, dice Kaspersky. “También se han visto ataques similares pero menos en otros países: Ucrania, Turquía y Alemania. En general, hay casi 200 objetivos, según las estadísticas de KSN”. Estos han incluido el metro de Kiev, el aeropuerto de Odessa. En respuesta, el equipo nacional ucraniano de emergencias informáticas emitió una advertencia sobre Bad Rabbit. Hasta ahora no se han visto ataques en el Reino Unido. El Centro Nacional de Seguridad Cibernética dice que está al tanto de Bad Rabbit y está monitoreando la situación. Se recomienda instalar todas las actualizaciones de seguridad para el software.

De donde viene?

No ha sido posible atribuir el ransomware a un país o grupo de hackers. El análisis realizado por la empresa de seguridad Malwarebytes encontró una serie de similitudes con NotPetya.

El ransomware explota el Bloque de mensajes del servidor (SMB), que también se vio en NotPetya. El análisis realizado por Malwarebytes concluyó que Bad Rabbit está “probablemente preparado por los mismos autores” que NotPetya.

Si bien Bad Rabbit no parece incluir el exploit Eternal BlueWindows que fue robado de la NSA y utilizado en NotPetya y WannaCry, sí utiliza uno de los defectos de seguridad de la agencia. Investigaciones posteriores de Talos de Cisco encontraron que Bad Rabbit explotó a SMB a través del exploit EternalRomance de la NSA.

“Identificamos el uso del exploit EternalRomance para propagarse en la red”, dijo Talos en una publicación de blog. “Este exploit aprovecha una vulnerabilidad descrita en el boletín de seguridad MS17-010 de Microsoft”.

Related Content

Cómo descifrar un pendrive que está encriptado con validez de tiempo

¿Cómo se instalan los certificados SSL para Koha en el servidor Apache en Ubuntu 12.04?

¿Cómo convertirse en un auditor de seguridad de TI? ¿Y qué conocimiento debo tener a un nivel más fresco?

Como broma, mi amigo cifró mi artículo en Base64 y lo guardó. No tengo copias de seguridad. ¿Tendré que rehacerlo o hay alguna forma de descifrarlo?

Cómo obtener soporte técnico de Bitdefender Antivirus

Un nuevo Ransomware denominado Bad Rabbit ha estado atacando rápidamente sistemas en toda Europa y siguiendo los pasos de WannaCry y NotPetya. Sin embargo, a diferencia de WannaCry, Bad Rabbit no usa Eternal Blue para propagarse lateralmente, sino que usa Mimikatz para extraer las credenciales de la memoria e intenta acceder a los sistemas dentro de la misma red a través de SMB y WebDAV.
Además de encriptar los archivos, agrega la cadena “encriptada” al final del archivo en lugar de cambiar la extensión. Cambiar la extensión del archivo es bastante frecuente con la mayoría del ransomware.

El modo principal de entrega es a través de un instalador de Fake Flash Player y una vez ejecutado por el usuario; comenzaría a encriptar los archivos y luego modificaría el Master Boot Record, reiniciaría el sistema y mostraría la Nota de Ransomware.

eScan detecta y mitiga activamente esta amenaza. Los usuarios siempre deben asegurarse de actualizar sus sistemas informáticos con los parches que los proveedores de software ponen a disposición. Siempre deben tener precaución cuando cualquier sitio web le presente un ejecutable para descargar.

Medidas de prevención:

• Los administradores deben bloquear la transmisión de todos los archivos ejecutables por correo electrónico.
• Los administradores deben aislar el sistema afectado en la red.
• El administrador puede restaurar los archivos cifrados desde la copia de seguridad o desde el punto de restauración del sistema (si está habilitado) para los sistemas afectados.
• Instale y configure eScan con todos los módulos de seguridad activos:
1. Monitoreo en tiempo real de eScan
2. Protección proactiva de eScan
3. Prevención de intrusiones eScan Firewall IDS / IPS
• Los usuarios no deben habilitar macros en documentos.
• Las organizaciones deben implementar y mantener una solución de respaldo.
• Lo más importante, las organizaciones deben implementar MailScan en el nivel de puerta de enlace para los servidores de correo, para contener la propagación de archivos adjuntos sospechosos.

Lihtnes Nalev

Un ciberataque FRESCO ha provocado la caída de las computadoras en Rusia, Ucrania, Alemania y Turquía, lo que se atribuye al ransomware.

denominado “Bad Rabbit”, el virus es el último ejemplo de delincuentes cibernéticos que utilizan ransomware para extorsionar dinero en efectivo. Aquí encontrará todo lo que necesita saber.

¿Qué es el ataque del ransomware Bad Rabbit?

Bad Rabbit es una variedad de ransomware.

Se cree que está detrás del problema y se ha extendido a Rusia, Ucrania, Turquía y Alemania.

Aparecerá un mensaje en las pantallas de los usuarios diciéndoles que su computadora ha sido bloqueada y que deben pagar £ 280 en Bitcoin para recuperar el acceso.

Rusia ha sido la más afectada, pero también se ha visto afectada a las computadoras en Turquía y Alemania.

¿Cómo funciona el malware?

Bad Rabbit infecta una red cuando una persona ejecuta inadvertidamente un instalador falso de Adobe Flash Player que ha sido manipulado para que parezca real.

Después de infectar una máquina en una red, una computadora en una oficina, por ejemplo, Bad Rabbit puede encontrar cualquier información de inicio de sesión almacenada en la máquina que utiliza para propagarse a otros, según afirman investigadores de seguridad.

De manera similar a WannaCry, Bad Rabbit encripta archivos de Windows, video y audio.

El usuario recibe un mensaje que dice: “¡Vaya! Sus archivos se han cifrado.

“Si ve este texto, sus archivos ya no serán accesibles”.

El malware bloquea a los usuarios y exige dinero en efectivo.

Pero los expertos en seguridad advierten a las personas que no tosen.

El malware también parece estar usando un esquema de cifrado que evitó que los analistas descifraran el código malicioso.

Se conoce con el nombre en clave “Bad Rabbit”, pero es necesario analizarlo más a fondo.

Actualmente no está claro si las computadoras infectadas se pueden restaurar por completo.

Sin embargo, hay formas de protegerse del ciberataque.

¿Cómo se puede proteger contra el virus?

Los principales detectives cibernéticos del Reino Unido en GCHQ ahora le dicen a los británicos que instalen los últimos parches de software de seguridad, respalden datos y usen servicios de software antivirus adecuados.

Además, asegúrese de que las contraseñas nunca se vuelvan a usar en cuentas importantes y también configure la Autenticación de dos factores (también llamada Verificación en dos pasos) en la configuración de seguridad.

Mientras tanto, la Agencia Nacional del Crimen (NCA) alienta a cualquiera que piense que puede haber sido objeto de fraude en línea o delito cibernético a contactar a Action Fraud en http://www.actionfraud.police.uk .

La víctima debe pagar el rescate, pero la NCA alienta a la industria y al público a no pagar.

Amish Tiwari

2017 ya ha visto brotes de ransomware de gran impacto, a saber, Wannacry y NotPetya, y a medida que nos acercamos al final del año, otro se agrega a la lista. Bad Rabbit, llamado así porque los autores nombraron la página como donde exigen el rescate junto con los detalles de bitcoin

Los primeros informes de infección sugieren que la región geográfica objetivo sea principalmente Rusia y Ucrania, con informes dispersos en Turquía, Bulgaria, Polonia y Corea del Sur. Las interrupciones notables incluyen los principales editores de noticias rusos y en Ucrania, el aeropuerto de Odessa, el metro de Kiev y el Ministerio de Infraestructura.

Interfax emitió un aviso público mencionando que los servidores de Interfax Group han sufrido un ataque de piratas informáticos.

El departamento técnico está tomando todas las medidas para reanudar los servicios de noticias. Disculpe las molestias.

Fuente de infección

Sequretek Malware Labs descubrió más de una forma en que Bad Rabbit aterrizó en la máquina de una víctima. El malware se descargó como una actualización falsa de Adobe Flash de varios sitios web de medios pirateados. El mecanismo de propagación no se basó solo en las descargas sino también en la infección lateral a través de la explotación de recursos compartidos SMB en la red infectada. Bad Rabbit usa Mimikatz para obtener credenciales de inicio de sesión de la memoria de la computadora e incluso tiene contraseñas codificadas que usa para penetrar en sistemas vulnerables

Análisis técnico

Bad Rabbit viene como un cuentagotas que finge ser una Actualización Flash y tiene tres componentes principales.

  1. Infpub.dat – Componente DLL principal
  2. CSCC.dat: controlador legítimo para el cifrado desde la aplicación Diskcryptor
  3. Dispci.exe – componente Bootlocker

Bad Rabbit se debe ejecutar con privilegios de administrador, y en la ejecución se eliminan los componentes mencionados anteriormente en% windir%, similar a NotPetya (perfc.dat), Bad Rabbit depende del componente principal llamado Infpub.dat que se ejecuta por rundll32.exe llamado con los parámetros que se muestran a continuación.

“C: \\ Windows \\ system32 \\ rundll32.exe C: \\ Windows \\ infpub.dat, # 1 15”

Inmediatamente, se crean dos tareas, una para el reinicio forzado y la otra para realizar la función de bloqueo de arranque.

Hay menciones visibles de los personajes de Game Of Thrones, a saber, Drogon, Rhaegal, Viserion, Grayworm, etc., en el código y también en los nombres de tareas programadas.

Bad Rabbit tiene dos etapas de encriptación nuevamente similares a NotPetya, la primera es la encriptación del contenido de los tipos de archivo que se muestran a continuación, y la segunda es el bloqueo de arranque al reiniciar. La primera etapa del cifrado de archivos no muestra una extensión adicional, sino un “cifrado” adjunto en Unicode en el sistema de archivos.

Un archivo readme.txt se coloca en el escritorio y, a veces, en el directorio raíz, que contiene información relacionada con el rescate junto con una clave personal única. Parece que Bad Rabbit está utilizando múltiples direcciones de bitcoin para la recolección de rescate, ya que Sequretek Malware Labs encontró mención de al menos tres. Estas direcciones de bitcoin se muestran cuando la clave personal se proporciona en la página de recolección de rescate.

Las extensiones destinadas a cifrarse y la clave del Bad Rabbit están codificadas como se ve a continuación

Como se mencionó anteriormente, la lista de contraseñas codificadas que Bad Rabbit comprueba para penetrar en los sistemas de red también se puede encontrar

Al analizar el recurso de bootlocker de Bad Rabbit, Sequretek Malware Labs entendió que hay componentes de bajo nivel instalados directamente en el disco. Se muestra el primer recurso que se parece al gestor de arranque.

Mitigación

Se puede evitar que Bad Rabbit se ejecute y se propague de manera similar a NotPetya al no permitir que los componentes principales hagan su trabajo.

– Desactiva el servicio WMI si es posible

– Bloquee la ejecución de los archivos% windir% \ infpub.dat y% windir% \ cscc.dat.

donde% windir% = c \ windows o el directorio de Windows de la máquina.

Conclusión

Los ransomwares siempre han evolucionado y han recorrido un largo camino desde simples tácticas de miedo y retención de rescate hasta múltiples técnicas de evasión y propagación. Los ransomwares han mantenido una cosa en común y se mantienen bastante sofisticados y complicados, ya sean los métodos de cifrado o las nuevas formas de mantener el rescate. WannaCry fue uno de los primeros ransomware en traer capacidades parecidas a gusanos, y parece que Bad Rabbit ha evolucionado de NotPetya para ser uno de sus primeros ransomware en traer

capacidades de bloqueo de arranque y proceso de descifrado exitoso. Al menos una instancia menciona https://twitter.com/antonivanovm

Bad Rabbit no muestra signos de que los ransomwares se detengan, pero como siempre, la industria antimalware se adelanta para asegurarse de que los usuarios finales permanezcan seguros.

Shahbaz Shaikh

El mal ransomware de conejo es similar al ransomware no petaya y expter.

no petya ransomware:

El no petya salió a la luz de la cal hace solo 4 meses creando grandes estragos. El ataque inicial fue descubierto en Ucrania, Rusia infectando más dispositivos

El malware conocido como NotPetya, también conocido como SortaPetya, Petna, ExPetr, GoldenEye, Nyetya, Diskcoder.C, golpeó a las organizaciones a partir del 27 de junio. La policía cibernética en Ucrania, así como empresas de seguridad como Cisco Talos, ESET, Microsoft y Symantec, han dicho los ataques fueron facilitados por una “puerta trasera astuta” añadida al software de contabilidad ampliamente utilizado

Una de las empresas más afectadas por el peataya fue Maesrk. Se enfrenta a una pérdida de hasta $ 300 millones como resultado del brote de malware global NotPetya.

  • el ransom no petaya se propaga usando el smb -exlpoit
  • una vez que explota el dispositivo, usa herramientas como mimkatz y usa creditinals para infectar más dispositivos en la red.

Ahora llegando al Bad Rabbit Ransomware

  • el conejo malo no usó ningún exploit de día cero, sino que utilizó una actualización de software falsa para infectar los dispositivos

  • utilizó la vitalidad del intercambio dinámico de datos de Microsoft para infectar los dispositivos

Una vez que el cifrado utiliza DiskCryptor, que es de código abierto legítimo y el software utilizado para el cifrado de la unidad completa. Las claves se generan utilizando CryptGenRandom y luego se protegen con una clave pública RSA 2048 codificada.

Una vez que el dispositivo está infectado, las víctimas son dirigidas a una página de pago Tor y se les presenta un temporizador de cuenta regresiva. Pagan dentro de las primeras 40 horas más o menos, se les dice, y el pago por descifrar archivos es 0.05 bitcoin -. A aquellos que no pagan el rescate antes de que el temporizador llegue a cero se les dice que la tarifa aumentará y tendrán que pagar más.

Diferencia entre PETAYA Y CONEJO MALO

Deshabilite el servicio wmi para detener la propagación del ransomware en el dispositivo

vacunación para el conejo malo: –

  • Varios proveedores de seguridad dicen que sus productos protegen contra Bad Rabbit. Pero para aquellos que quieren estar seguros de que no son potencialmente víctimas del ataque, Kaspersky Lab dice que los usuarios pueden bloquear la ejecución del archivo ‘ c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat’. para prevenir la infección.

Amish Tiwari

Bad Rabbit Ransomware es una nueva familia de ransomware que atacó la red informática de organizaciones en Rusia y Ucrania el 24 de octubre de 2017. El ransomware es similar a Petya o WannaCry Ransomware, donde los datos en la computadora atacada están bloqueados y el rescate exigió desbloquearlos. . El nombre Bad Rabbit se le ha dado a este malware debido al encabezado mencionado en el sitio de rescate. Sin embargo, el nombre real de Bad Rabbit es Diskcoder.d. He leído un comunicado de prensa sobre este Ransomware de un importante proveedor de seguridad de TI REVE Antivirus. Puede ver el comunicado de prensa aquí. http://www.einpresswire.com/arti

Akhil

Bad Rabbit Ransomware: qué es, qué hacer

Un nuevo gusano ransomware denominado “Bad Rabbit” comenzó a extenderse por todo el mundo el martes (24 de octubre), y parecía ser una versión muy modificada del gusano NotPetya que golpeó el este de Europa en junio.

El malware Bad Rabbit ingresa a las redes empresariales cuando un usuario en la red ejecuta un falso instalador de Adobe Flash Player publicado en un sitio web pirateado. (Flash Player, tanto real como falso, es una herramienta cibercriminal favorita). Las infecciones iniciales provinieron de sitios de noticias en idioma ruso, una de las cuales parecía haber infectado activamente a los visitantes incluso cuando informaba sobre el brote de malware.

Puede leer más sobre ransmoware y sus tipos aquí: Evaluación de riesgos y ciberseguridad compatible con HIPAA | Comunidad Opsfolio

Manoj Kshirsagar

Bad Rabbit es un ransomware más nuevo y notorio, similar al ransomware Petya. Es una aplicación maliciosa que puede cifrar todos los archivos personales en la computadora, por lo que ya no puede abrir ni acceder a sus archivos. El ransomware Bad Rabbit es un virus dañino que hace que los datos sean ilegibles. Primero Bad Rabbit se infiltra en su sistema, luego comienza el procedimiento de cifrado con el algoritmo de cifrado RSA-2048. Puede aprender cómo eliminar el ransomware Bad Rabbit y recuperar archivos en este artículo: enlace.

Rza Aliev

Bad Rabbit es un ransomware que comenzó a apuntar a dispositivos inteligentes el 24 de octubre. Bad Rabbit es similar a los ataques como Petya, Locky, Cryto, etc. Para saber más sobre Bad Rabbit, haga clic aquí: ¿Qué es Bad Rabbit Ransomware | ¿Cómo permanecer seguro?

Para deshacerse de las amenazas y ataques maliciosos, ejecute el mejor software antivirus instalado en su dispositivo. Si está interesado en el mejor software antivirus, descárguelo ahora.

Shahbaz Shaikh

Un Ransomware es un mal programa que modifica todos sus documentos e imágenes importantes y exige dinero para restaurarlo.

Si la computadora de su amigo está infectada por un Ransomware (digamos que su computadora está de alguna manera conectada con la computadora de su amigo), entonces su computadora no se infecta automáticamente. tienes que descargarlo y ejecutarlo.

Sin embargo, con Bad Rabbit, se propaga e infecta automáticamente otros sistemas. Eso es mortal

Similar al ransomware WannaCry o Petya.

Manoj Kshirsagar

Aquí hay noticias, si es que son noticias, de un nuevo ataque de malware que se ha dirigido a partes de Europa; Según los informes, este ataque golpeó un aeropuerto internacional de Ucrania y algunos medios rusos. El malware fue detectado por los ciberseguros, que lo llamaron “BadRabbit”. Conozca más detalles sobre Bad Rabbit Ransomware Consulte ahora el sitio web.

Lihtnes Nalev

Consulte esta presentación de diapositivas para conocer los hechos más interesantes sobre el ataque del ransomware Bad Rabbit: países afectados, cómo se propaga y más.

Visita- https://www.slideshare.net/secre

Lihtnes Nalev

More Interesting

Estoy interesado en la seguridad informática. ¿Qué tema debo elegir para mi disertación para que me familiarice con el campo?

¿Por qué se dice que Stuxnet es el malware más peligroso de la historia?

¿Por qué la quinta enmienda de EE. UU. Faculta a la policía para obligar a una persona a desbloquear su teléfono si está protegido con huella digital pero no si está protegido con contraseña?

¿Debo instalar Internet Security?

Si escribo un programa simple, eso solo me enviaría cada golpe de tecla del usuario a través de algún protocolo, ¿el software antivirus lo reconocerá fácilmente como virus?

¿Cuál es una manera efectiva de protegerse del criptoanálisis con manguera de goma?

¿Qué tan difícil es hackear una computadora?

¿Cómo acelerarías el proceso de un ataque de diccionario?

¿Cómo funciona el cifrado de archivos?

¿Cuáles son las diferentes áreas de ciberseguridad?

Cómo recuperarse de un ataque cibernético

¿Cómo puedo proteger mejor mi Macbook contra espías?

¿Qué es el ransomware locky?

¿Qué antivirus es bueno para una configuración de oficina?

¿Cómo puedo pagarle a un hacker hasta que me piratee y me ayude a obtener el dinero?