Bad Rabbit: Una nueva epidemia de ransomware va en aumento
El post se está actualizando a medida que nuestros expertos encuentran nuevos detalles sobre el malware.
Ya hemos visto dos ataques de ransomware a gran escala este año: hablamos de los infames WannaCry y ExPetr (también conocidos como Petya y NotPetya). Parece que un tercer ataque está en aumento: El nuevo malware se llama Bad Rabbit – al menos, ese es el nombre indicado por el sitio web de la darknet enlazado en la nota de rescate.
Lo que se sabe por el momento es que el ransomware Bad Rabbit ha infectado a varios grandes medios de comunicación rusos, con la agencia de noticias Interfax y Fontanka.ru entre las víctimas confirmadas del malware. El Aeropuerto Internacional de Odessa ha informado de un ciberataque a su sistema de información, aunque todavía no está claro si se trata del mismo ataque.
Los delincuentes que están detrás del ataque de Bad Rabbit exigen 0,05 bitcoin como rescate, lo que equivale a unos 280 dólares al cambio actual.
Según nuestras averiguaciones, se trata de un ataque drive-by: Las víctimas descargan un falso instalador de Adobe Flash desde sitios web infectados y lanzan manualmente el archivo .exe, infectándose así. Nuestros investigadores han detectado una serie de sitios web comprometidos, todos ellos de noticias o medios de comunicación.
Según nuestros datos, la mayoría de las víctimas de estos ataques se encuentran en Rusia. También hemos visto ataques similares, pero menos numerosos, en Ucrania, Turquía y Alemania. Este ransomware ha infectado dispositivos a través de una serie de sitios web de medios rusos hackeados. Según nuestra investigación, se trata de un ataque dirigido contra redes corporativas, utilizando métodos similares a los utilizados en el ataque ExPetr.
Nuestros expertos han reunido suficientes pruebas para relacionar el ataque de Bad Rabbit con el de ExPetr, ocurrido en junio de este año. Según sus análisis, parte del código utilizado en Bad Rabbit fue detectado previamente en ExPetr.
Otras similitudes incluyen la misma lista de dominios utilizados para el ataque drive-by (algunos de esos dominios fueron hackeados en junio, pero no se utilizaron), así como las mismas técnicas utilizadas para la propagación del malware a través de las redes corporativas – ambos ataques utilizaron la línea de comandos de Windows Management Instrumentation (WMIC) para ese propósito. Sin embargo, hay una diferencia: A diferencia de ExPetr, Bad Rabbit no utiliza el exploit EternalBlue para la infección. Pero utiliza el exploit EternalRomance para moverse lateralmente en la red local.
Nuestros expertos creen que el mismo actor de la amenaza está detrás de ambos ataques y que este actor de la amenaza estaba preparando el ataque de Bad Rabbit en julio de 2017, o incluso antes. Sin embargo, a diferencia de ExPetr, Bad Rabbit parece no ser un wiper, sino solo un ransomware: encripta archivos de algunos tipos e instala un bootloader modificado, impidiendo así que el PC arranque normalmente. Como no es un limpiador, los malhechores que están detrás de él tienen potencialmente la capacidad de descifrar la contraseña, que, a su vez, es necesaria para descifrar los archivos y permitir que el ordenador arranque el sistema operativo.
Desgraciadamente, nuestros expertos dicen que no hay forma de recuperar los archivos cifrados sin conocer la clave de cifrado. Sin embargo, si por alguna razón Bad Rabbit no cifró todo el disco, es posible recuperar los archivos a partir de las copias en la sombra (si las copias en la sombra estaban activadas antes de la infección). Seguimos investigando. Mientras tanto, puede encontrar más detalles técnicos en este post de Securelist.
Los productos de Kaspersky Lab detectan el ataque con los siguientes veredictos:
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- DangerousObject.Multi.Generic
- PDM:Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
Para evitar ser víctima de Bad Rabbit:
Usuarios de productos de Kaspersky Lab:
- Asegúrese de que tiene System Watcher y Kaspersky Security Network en funcionamiento. Si no es así, es esencial activar estas funciones.
Otros usuarios:
- Bloquee la ejecución de los archivos c:windowsinfpub.dat y c:Windowscscc.dat.
- Desactivar el servicio WMI (si es posible en su entorno) para evitar que el malware se propague por la red.
Consejos para todos:
- Haga una copia de seguridad de sus datos.
- No pague el rescate.