Una nueva campaña de ransomware ha golpeado varios objetivos de alto perfil en Rusia y Europa del Este.
Apodado Bad Rabbit, el ransomware comenzó a infectar los sistemas el martes 24 de octubre, y la forma en que las organizaciones parecen haber sido golpeadas simultáneamente atrajo inmediatamente comparaciones con las epidemias de WannaCry y Petya de este año.
Tras el brote inicial, hubo cierta confusión sobre qué es exactamente Bad Rabbit. Sin embargo, ahora que el pánico inicial se ha calmado, es posible profundizar en lo que está ocurriendo exactamente.
1. El ciberataque ha afectado a organizaciones de toda Rusia y Europa del Este
Organizaciones de Rusia y Ucrania -así como un pequeño número de Alemania y Turquía- han sido víctimas del ransomware. Los investigadores de Avast dicen que también han detectado el malware en Polonia y Corea del Sur.
La empresa rusa de ciberseguridad Group-IB confirmó que al menos tres organizaciones de medios de comunicación en el país han sido afectadas por el malware de encriptación de archivos, mientras que al mismo tiempo la agencia de noticias rusa Interfax dijo que sus sistemas se han visto afectados por un «ataque de hackers» – y fueron aparentemente golpeados fuera de línea por el incidente.
Otras organizaciones de la región, incluyendo el Aeropuerto Internacional de Odessa y el Metro de Kiev, también hicieron declaraciones sobre haber sido víctimas de un ciberataque, mientras que el CERT-UA, el Equipo de Respuesta a Emergencias Informáticas de Ucrania, también publicó que se había producido el «posible inicio de una nueva ola de ciberataques a los recursos de información de Ucrania», ya que empezaron a llegar informes de infecciones de Bad Rabbit.
En el momento de escribir este artículo, se cree que hay casi 200 objetivos infectados, lo que indica que no se trata de un ataque como lo fue WannaCry o Petya, pero sigue causando problemas a las organizaciones infectadas.
«La prevalencia total de las muestras conocidas es bastante baja en comparación con las otras cepas «comunes»», dijo Jakub Kroustek, analista de malware de Avast.
2. Es definitivamente un ransomware
Aquellos desafortunados que fueron víctimas del ataque se dieron cuenta rápidamente de lo que había sucedido porque el ransomware no es sutil: presenta a las víctimas una nota de rescate que les dice que sus archivos «ya no son accesibles» y «nadie podrá recuperarlos sin nuestro servicio de descifrado».
Nota de rescate de Bad Rabbit.
Imagen: ESET
Las víctimas son dirigidas a una página de pago de Tor y se les presenta una cuenta atrás. Pagar dentro de las primeras 40 horas más o menos, se les dice, y el pago para descifrar los archivos es de 0,05 bitcoin – alrededor de 285 dólares. Los que no pagan el rescate antes de que el temporizador llegue a cero se les dice que la tarifa subirá y tendrán que pagar más.
Página de pago de Bad Rabbit.
Imagen: Kaspersky Lab
El cifrado utiliza DiskCryptor, que es un software legítimo y de código abierto utilizado para el cifrado completo de unidades. Las claves se generan utilizando CryptGenRandom y luego se protegen con una clave pública RSA 2048 codificada.
3. Se basa en Petya/No Petya
Si la nota de rescate te resulta familiar, es porque es casi idéntica a la que vieron las víctimas del brote Petya de junio. Las similitudes no son solo cosméticas: Bad Rabbit también comparte elementos entre bastidores con Petya.
El análisis realizado por los investigadores de Crowdstrike ha descubierto que la DLL (biblioteca de enlaces dinámicos) de Bad Rabbit y NotPetya comparten el 67% del mismo código, lo que indica que las dos variantes de ransomware están estrechamente relacionadas, e incluso podrían ser obra del mismo actor de la amenaza.
4. Se propaga a través de una falsa actualización de Flash en sitios web comprometidos
La principal forma de propagación de Bad Rabbit son las descargas drive-by en sitios web hackeados. No se utilizan exploits, sino que a los visitantes de los sitios web comprometidos -algunos de los cuales lo están desde junio- se les dice que tienen que instalar una actualización de Flash. Por supuesto, no se trata de una actualización de Flash, sino de un dropper para la instalación maliciosa.
Un sitio web comprometido que pide al usuario que instale una falsa actualización de Flash que distribuye Bad Rabbit.
Imagen: ESET
Los sitios web infectados -en su mayoría con sede en Rusia, Bulgaria y Turquía- se ven comprometidos por la inyección de JavaScript en su cuerpo HTML o en uno de sus archivos .js.
5. Al igual que Petya, Bad Rabbit tiene un potente truco en la manga: contiene un componente SMB que le permite moverse lateralmente a través de una red infectada y propagarse sin la interacción del usuario, dicen los investigadores de Cisco Talos.
Lo que ayuda a la capacidad de Bad Rabbit para propagarse es una lista de combinaciones simples de nombre de usuario y contraseña que puede explotar para forzar su camino a través de las redes. La lista de contraseñas débiles consiste en una serie de sospechosos habituales de contraseñas débiles, como combinaciones de números simples y «contraseña».
6. … pero no utiliza EternalBlue
Cuando Bad Rabbit apareció por primera vez, algunos sugirieron que, al igual que WannaCry, explotaba el exploit EternalBlue para propagarse. Sin embargo, ahora no parece ser el caso.
«Actualmente no tenemos evidencia de que el exploit EternalBlue esté siendo utilizado para propagar la infección», dijo Martin Lee, Jefe Técnico de Investigación de Seguridad en Talos a ZDNet.
7. Puede que no sea indiscriminado
En el mismo punto tras el brote de WannaCry, cientos de miles de sistemas en todo el mundo habían sido víctimas del ransomware. Sin embargo, Bad Rabbit no parece infectar indiscriminadamente a los objetivos, sino que los investigadores han sugerido que solo infecta a objetivos seleccionados.
«Nuestras observaciones sugieren que este ha sido un ataque dirigido contra redes corporativas», dijeron los investigadores de Kaspersky Lab.
Mientras tanto, los investigadores de ESET dicen que las instrucciones del script inyectado en los sitios web infectados «pueden determinar si el visitante es de interés y luego añadir contenido a la página» si el objetivo se considera adecuado para la infección.
Sin embargo, en esta etapa, no hay ninguna razón obvia por la que las organizaciones de medios de comunicación y la infraestructura en Rusia y Ucrania ha sido específicamente objetivo de este ataque.
8. No está claro quién está detrás
En este momento, todavía se desconoce quién está distribuyendo el ransomware o por qué, pero la similitud con Petya ha llevado a algunos investigadores a sugerir que Bad Rabbit es del mismo grupo de ataque – aunque eso tampoco ayuda a identificar al atacante o el motivo, porque el autor de la epidemia de junio nunca ha sido identificado.
Lo que distingue a este ataque es que ha infectado principalmente a Rusia: las organizaciones cibercriminales de Europa del Este tienden a evitar atacar a la «madre patria», lo que indica que es poco probable que se trate de un grupo ruso.
9. Contiene referencias a Juego de Tronos
Quienquiera que esté detrás de Bad Rabbit, parece ser un fan de Juego de Tronos: el código contiene referencias a Viserion, Drogon y Rhaegal, los dragones que aparecen en la serie de televisión y en las novelas en las que se basa. Por tanto, los autores del código no están haciendo mucho por cambiar la imagen estereotipada de que los hackers son frikis y empollones.
Referencias a dragones de Juego de Tronos en el código.
Imagen: Kaspersky Lab
10. Puedes protegerte de ser infectado por él
Por el momento, se desconoce si es posible descifrar los archivos bloqueados por Bad Rabbit sin ceder y pagar el rescate -aunque los investigadores dicen que aquellos que sean víctimas no deberían pagar la cuota, ya que sólo fomentará el crecimiento del ransomware.
Varios proveedores de seguridad dicen que sus productos protegen contra Bad Rabbit. Pero para aquellos que quieren estar seguros de no ser potencialmente víctimas del ataque, Kaspersky Lab dice que los usuarios pueden bloquear la ejecución del archivo ‘c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.’ para evitar la infección.
Cobertura anterior
El ransomware Bad Rabbit: Una nueva variante de Petya se está extendiendo, advierten los investigadores
Actualización: Organizaciones en Rusia, Ucrania y otros países han sido víctimas de lo que se cree que es una nueva variante de ransomware.
LEER MÁS SOBRE RANSOMWARE
- Después de WannaCry, el ransomware empeorará antes de mejorar
- Ransomware: Una guía ejecutiva sobre una de las mayores amenazas de la red
- 6 consejos para evitar el ransomware tras Petya y WannaCry (TechRepublic)
- Su falta de aplicación de actualizaciones críticas de ciberseguridad está poniendo a su empresa en riesgo del próximo WannaCry o Petya
- Cómo protegerse del ransomware WannaCry (CNET)