Bad Rabbit: nova epidemia de ransomware usa sites contaminados

Ameaças Notícias

O post está sendo atualizado à medida que nossos especialistas encontram novos detalhes sobre o malware.

Já vimos dois ataques em grande escala do Ransomware este ano – WannaCry e ExPetr (também conhecido como Petya e NotPetya). Parece que um terceiro ataque está em ascensão: o malware Bad Rabbit – nome indicado pelo site darknet citado na nota de resgate.
O que se sabe até agora é que o Bad Rabbit infectou vários grandes meios de comunicação russos, como as agências de notícias Interfax e Fontanka.ru. O Aeroporto Internacional de Odessa (Ucrânia) informou sobre um ataque cibernético em seu sistema de informação.

Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate – aproximadamente US$ 280 à taxa de câmbio atual.

De acordo com nossas descobertas, o ataque não usa exploits. É um ataque drive-by: as vítimas baixam um falso instalador do Adobe Flash de sites infectados e iniciam manualmente o arquivo .exe, infectando-se assim. Nossos pesquisadores detectaram uma série de sites comprometidos, todas de notícias ou de mídia.

Se é possível recuperar arquivos criptografados por Bad Rabbit (seja pagando o resgate ou usando alguma falha no código do ransomware) ainda não é conhecido. Os especialistas da Kaspersky Lab estão investigando o ataque e estaremos atualizando esta publicação com suas descobertas.

De acordo com nossos dados, a maioria das vítimas está na Rússia. Também vimos ataques semelhantes, porém menos, na Ucrânia, Turquia e Alemanha. Este ransomware infectou dispositivos por meio de uma série de sites de mídia russo hackeados. Com base em nossa investigação, é um ataque direcionado contra redes corporativas, usando métodos semelhantes aos usados ​​no ataque do ExPetr.

Nossos especialistas coletaram evidências suficientes para vincular o ataque de Bad Rabbit com o do ExPetr, em junho deste ano. De acordo com as análises, alguns dos códigos usados no Bad Rabbit foram vistos no ExPetr.

Outras semelhanças incluem a mesma lista de domínios utilizados para o ataque drive-by (alguns desses domínios foram hackeados em junho, mas não utilizados), bem como as mesmas técnicas utilizadas para espalhar o malware em redes corporativas – ambos os ataques utilizaram o Windows Management Instrumentation Command Line (WMIC). No entanto, há uma diferença: ao contrário do ExPetr, o Bad Rabbit não usa o EternalBlue – ou qualquer outro exploit.

Nossos especialistas pensam que o mesmo ator da ameaça está atrás de ambos os ataques e que ele estava preparando o ataque Bad Rabbit desde julho deste ano, ou mesmo antes.

Continuamos nossa investigação. Enquanto isso, você pode encontrar mais detalhes técnicos nesta publicação na Securelist.

Os produtos da Kaspersky Lab detectam o ataque com os seguintes nomes: UDS: DangerousObject.Multi.Generic (detectado pela Kaspersky Security Network), PDM: Trojan.Win32.Generic (detectado pelo System Watcher) e Trojan-Ransom.Win32.Gen.ftl.

Para evitar ser uma vítima do Bad Rabbit:

Usuários dos produtos Kaspersky Lab:

Outros usuários:

  • Bloqueie a execução dos arquivos c:\windows\ infpub.dat e c:\Windows\cscc.dat.
  • Desative o serviço WMI (se for possível no seu ambiente) para impedir que o malware se espalhe pela sua rede.

Dicas para todos: