El ransomware Bad Rabbit tiene similitudes con Not Petya pero no se ha extendido mucho más allá de Rusia y Ucrania
La nueva variedad de ransomware, denominada Bad Rabbit, se vio por primera vez el 24 de octubre. Hasta la fecha, los sistemas atacados se han limitado principalmente a Rusia y Ucrania. El ransomware es la tercera propagación importante de malware este año: sigue las cepas de código malicioso WannaCry y NotPetya de mayor alcance. Esto es lo que sabemos sobre Bad Rabbit hasta ahora.
- ¿Cómo funciona la criptografía en los modernos SecurID de RSA?
- Cómo deshacerse del virus informático IMG001 sin usar software antivirus
- ¿Cómo es una carrera en seguridad de la información y redes?
- Cómo informar varias vulnerabilidades que he encontrado en el sistema de pago del sitio web de mi universidad sin ser acusado de violar su seguridad
- Cómo hacer que mi hogar sea más seguro
Entonces, ¿qué es el conejo malo?
El ransomware Bad Rabbit se propaga a través de “ataques automáticos” en los que sitios web inseguros se ven comprometidos. “Mientras el objetivo está visitando un sitio web legítimo, se está descargando un cuentagotas de malware de la infraestructura del actor de amenazas”, según el análisis de Kaspersky Labs.
En este caso, el malware está disfrazado como un instalador de Adobe Flash. Cuando se abre el archivo de aspecto inocente, comienza a bloquear la computadora infectada. La descarga de Flash se ha instalado en sitios web que utilizan JavaScript inyectado en los archivos HTML o Java de los sitios web afectados. El malware no se instala automáticamente, lo que significa que se debe hacer clic para que funcione.
Si una persona hace clic en el instalador malicioso, y dada la cantidad de actualizaciones Flash emitidas, es muy probable, su computadora se bloquea. La nota de rescate y la página de pago exigen alrededor de $ 280 en Bitcoin y ofrece un plazo de 40 horas para que se realicen los pagos. El software DiskCryptor se utiliza para cifrar discos duros.
¿A quién ha estado golpeando?
A diferencia de WannaCry y NotPetya, Bad Rabbit no se ha extendido ampliamente. La mayoría de los incidentes se han registrado en Rusia y Ucrania. Según la compañía de seguridad Eset, que publicó una publicación de blog en Bad Rabbit, hay varios dominios rusos (.ru) que se han visto afectados. Kaspersky agrega que “todos” los sitios web comprometidos que ha visto han sido noticias o medios de comunicación.
“La mayoría de los objetivos se encuentran en Rusia”, dice Kaspersky. “También se han visto ataques similares pero menos en otros países: Ucrania, Turquía y Alemania. En general, hay casi 200 objetivos, según las estadísticas de KSN”. Estos han incluido el metro de Kiev, el aeropuerto de Odessa. En respuesta, el equipo nacional ucraniano de emergencias informáticas emitió una advertencia sobre Bad Rabbit. Hasta ahora no se han visto ataques en el Reino Unido. El Centro Nacional de Seguridad Cibernética dice que está al tanto de Bad Rabbit y está monitoreando la situación. Se recomienda instalar todas las actualizaciones de seguridad para el software.
De donde viene?
No ha sido posible atribuir el ransomware a un país o grupo de hackers. El análisis realizado por la empresa de seguridad Malwarebytes encontró una serie de similitudes con NotPetya.
El ransomware explota el Bloque de mensajes del servidor (SMB), que también se vio en NotPetya. El análisis realizado por Malwarebytes concluyó que Bad Rabbit está “probablemente preparado por los mismos autores” que NotPetya.
Si bien Bad Rabbit no parece incluir el exploit Eternal BlueWindows que fue robado de la NSA y utilizado en NotPetya y WannaCry, sí utiliza uno de los defectos de seguridad de la agencia. Investigaciones posteriores de Talos de Cisco encontraron que Bad Rabbit explotó a SMB a través del exploit EternalRomance de la NSA.
“Identificamos el uso del exploit EternalRomance para propagarse en la red”, dijo Talos en una publicación de blog. “Este exploit aprovecha una vulnerabilidad descrita en el boletín de seguridad MS17-010 de Microsoft”.