Bad Rabbit: Uma nova epidemia de ransomware está aumentando

O post está sendo atualizado à medida que nossos especialistas encontram novos detalhes sobre o malware.

Já vimos dois ataques de ransomware em larga escala este ano – estamos falando dos infames WannaCry e ExPetr (também conhecidos como Petya e NotPetya). Parece que um terceiro ataque está em ascensão: O novo malware chama-se Bad Rabbit – pelo menos, esse é o nome indicado pelo site da Darknet ligado na nota de resgate.

O que se sabe no momento é que o Bad Rabbit ransomware infectou vários grandes veículos de mídia russos, com a agência de notícias Interfax e Fontanka.ru entre as vítimas confirmadas do malware. O Aeroporto Internacional de Odessa informou sobre um ataque cibernético em seu sistema de informação, embora ainda não esteja claro se é o mesmo ataque.

Os criminosos por trás do ataque do Bad Rabbit estão exigindo 0,05 bitcoin como resgate – isso é aproximadamente $280 à taxa de câmbio atual.

De acordo com nossas descobertas, é um ataque drive-by: As vítimas baixam um falso instalador Adobe Flash de sites infectados e lançam manualmente o arquivo .exe, infectando-se assim. Nossos pesquisadores detectaram uma série de sites comprometidos, todas as notícias ou sites de mídia.

De acordo com nossos dados, a maioria das vítimas destes ataques estão localizadas na Rússia. Também temos visto ataques semelhantes, mas menos na Ucrânia, Turquia e Alemanha. Este resgate infectou dispositivos através de uma série de sites de mídia russos hackeados. Com base na nossa investigação, este é um ataque direccionado contra redes empresariais, usando métodos semelhantes aos usados no ataque ExPetr.

Os nossos especialistas recolheram provas suficientes para ligar o ataque do Coelho Mau com o ataque ExPetr, que aconteceu em Junho deste ano. De acordo com suas análises, alguns dos códigos usados no Bad Rabbit foram previamente encontrados no ExPetr.

Outras semelhanças incluem a mesma lista de domínios usados para o ataque drive-by (alguns desses domínios foram hackeados em junho, mas não utilizados), bem como as mesmas técnicas usadas para espalhar o malware através de redes corporativas – ambos os ataques usaram a linha de comando Windows Management Instrumentation (WMIC) para esse fim. No entanto, há uma diferença: Ao contrário do ExPetr, o Bad Rabbit não usa o exploit EternalBlue para a infecção. Mas ele usa o exploit EternalRomance para se mover lateralmente na rede local.

Nossos especialistas pensam que o mesmo ator de ameaça está por trás de ambos os ataques e que este ator de ameaça estava preparando o ataque do Bad Rabbit até julho de 2017, ou até mais cedo. No entanto, ao contrário do ExPetr, o Bad Rabbit parece não ser um limpador de pára-brisas, mas apenas um ransomware: ele criptografa arquivos de alguns tipos e instala um bootloader modificado, impedindo assim que o PC inicialize normalmente. Como não é um wiper, os malfeitores por trás dele potencialmente têm a capacidade de descriptografar a senha, que, por sua vez, é necessária para descriptografar arquivos e permitir que o computador inicialize o sistema operacional.

Felizmente, nossos especialistas dizem que não há como obter os arquivos criptografados de volta sem conhecer a chave de criptografia. Entretanto, se por alguma razão Bad Rabbit não criptografou o disco inteiro, é possível recuperar os arquivos das cópias de sombra (se as cópias de sombra foram habilitadas antes da infecção). Nós continuamos a nossa investigação. Entretanto, você pode encontrar mais detalhes técnicos neste post em Securelist.

Kaspersky Lab’s products detectam o ataque com os seguintes veredictos:

  • Trojan-Ransom.Win32.Gen.ftl
  • Trojan-Ransom.Win32.BadRabbit
  • DangerousObject.Multi.Genéricos
  • PDM:Trojan.Win32.Generic
  • Intrusão.Win.CVE-2017-0147.sa.leak

Para evitar ser vítima do Bad Rabbit:

Utilizadores dos produtos Kaspersky Lab:

  • Confirme que tem o System Watcher e Kaspersky Security Network a funcionar. Se não, é essencial ligar estas funcionalidades.

Outros utilizadores:

  • Bloquear a execução dos ficheiros c:windowsinfpub.dat e c:Windowscscc.dat.
  • Desactivar o serviço WMI (se for possível no seu ambiente) para evitar que o malware se espalhe pela sua rede.

Dicas para todos:

  • Back up your data.
  • Não pagar o resgate.