Uma nova campanha de resgate atingiu uma série de alvos de alto perfil na Rússia e Europa Oriental.
Dubbed Bad Rabbit, o ransomware começou a infectar sistemas na terça-feira 24 de outubro, e a forma como as organizações parecem ter sido atingidas simultaneamente imediatamente fez comparações com as epidemias de WannaCry e Petya deste ano.
Após o surto inicial, houve alguma confusão sobre o que é exatamente o Bad Rabbit. Agora o pânico inicial diminuiu, no entanto, é possível escavar o que exatamente está acontecendo.
1. O ataque cibernético atingiu organizações através da Rússia e Europa Oriental
Organizações através da Rússia e Ucrânia — assim como um pequeno número na Alemanha, e Turquia — foram vítimas do resgate. Pesquisadores na Avast dizem que eles também detectaram o malware na Polônia e na Coréia do Sul.
A empresa russa de segurança cibernética Group-IB confirmou que pelo menos três organizações de mídia no país foram atingidas por malware de encriptação de arquivos, enquanto ao mesmo tempo a agência de notícias russa Interfax disse que seus sistemas foram afetados por um “ataque de hackers” – e aparentemente foram derrubados offline pelo incidente.
Outras organizações na região, incluindo o Aeroporto Internacional de Odessa e o metrô de Kiev também fizeram declarações sobre a queda de vítimas de um ataque cibernético, enquanto CERT-UA, a Equipe de Resposta de Emergência Informática da Ucrânia, também postou que o “possível início de uma nova onda de ataques cibernéticos aos recursos de informação da Ucrânia” tinha ocorrido, quando relatórios de infecções por coelhos maus começaram a chegar.
No momento de escrever, pensa-se que existem quase 200 alvos infectados e indica que este não é um ataque como o WannaCry ou Petya foi — mas ainda está a causar problemas para as organizações infectadas.
“A prevalência total de amostras conhecidas é bastante baixa em comparação com as outras estirpes “comuns”””, disse Jakub Kroustek, analista de malware da Avast.
2. É definitivamente um resgate
Aqueles infelizes o suficiente para serem vítimas do ataque rapidamente perceberam o que aconteceu porque o resgate não é sutil — ele apresenta às vítimas uma nota de resgate dizendo-lhes que seus arquivos “não estão mais acessíveis” e “ninguém será capaz de recuperá-los sem nosso serviço de decriptação”.
Bad Rabbit ransom note.
Imagem: ESET
As vítimas são encaminhadas para uma página de pagamento Tor e são apresentadas com um temporizador de contagem decrescente. Pague dentro das primeiras 40 horas ou mais, eles são informados, e o pagamento para descriptografar arquivos é de 0.05 bitcoin — cerca de $285. Aqueles que não pagarem o resgate antes que o timer chegue a zero são informados que a taxa subirá e terão que pagar mais.
Bad Rabbit payment page.
Imagem: Kaspersky Lab
A encriptação usa DiskCryptor, que é de código aberto legítimo e software usado para encriptação de disco completo. As chaves são geradas usando CryptGenRandom e depois protegidas por uma chave pública RSA 2048.
3. É baseado em Petya/Not Petya
Se a nota de resgate parece familiar, isso é porque é quase idêntico àquele que foi vítima da serra de Petya de Junho. As semelhanças também não são apenas cosméticas — o Bad Rabbit compartilha elementos dos bastidores com Petya também.
Análise feita por pesquisadores da Crowdstrike descobriu que as DLLs Bad Rabbit e NotPetya (biblioteca de links dinâmicos) compartilham 67% do mesmo código, indicando que as duas variantes do resgate estão intimamente relacionadas, potencialmente até mesmo o trabalho do mesmo ator ameaçador.
4. se espalha através de uma falsa atualização do Flash em sites comprometidos
A principal forma de propagação do Bad Rabbit é através de downloads drive-by em sites hackeados. Não são usados exploits, mas visitantes de sites comprometidos — alguns dos quais estão comprometidos desde junho — são informados que eles precisam instalar uma atualização do Flash. Claro, isto não é uma atualização do Flash, mas um conta-gotas para a instalação maliciosa.
Um site comprometido pedindo a um usuário para instalar uma atualização falsa do Flash que distribui o Bad Rabbit.
Imagem: ESET
Websites infectados — a maioria baseados na Rússia, Bulgária e Turquia — estão comprometidos por ter o JavaScript injetado em seu corpo HTML ou em um de seus arquivos .js.
5. Ele pode se espalhar lateralmente por redes…
Muito parecido com Petya, Bad Rabbit vem com um truque potente na manga, pois contém um componente SMB que permite que ele se mova lateralmente por uma rede infectada e se propague sem interação do usuário, dizem os pesquisadores do Cisco Talos.
O que ajuda a capacidade do Bad Rabbit de se espalhar é uma lista de combinações simples de nome de usuário e senha que ele pode explorar para forçar o seu caminho através das redes. A lista de senhas fracas consiste em um número de suspeitos de senhas fracas, como combinações de números simples e ‘password’.
6. … mas não usa EternalBlue
Quando Bad Rabbit apareceu pela primeira vez, alguns sugeriram que como WannaCry, ele explorou o exploit de EternalBlue para se espalhar. No entanto, isso agora não parece ser o caso.
“Atualmente não temos evidências de que o exploit EternalBlue esteja sendo utilizado para espalhar a infecção”, disse Martin Lee, Líder Técnico de Pesquisa de Segurança da Talos à ZDNet.
7. Pode não ser indiscriminado
No mesmo ponto após o surto do WannaCry, centenas de milhares de sistemas ao redor do mundo haviam sido vítimas de resgate. No entanto, o Bad Rabbit não parece infectar alvos indiscriminadamente, mas os pesquisadores sugeriram que ele infecta apenas alvos selecionados.
“Nossas observações sugerem que este foi um ataque direcionado contra redes corporativas”, disseram pesquisadores do Kaspersky Lab.
Entretanto, os investigadores da ESET dizem instruções no script injectado em websites infectados “podem determinar se o visitante é de interesse e depois adicionar conteúdo à página” se o alvo for considerado adequado para a infecção.
Contudo, nesta fase, não há nenhuma razão óbvia para que as organizações e infra-estruturas dos media na Rússia e Ucrânia tenham sido especificamente visadas neste ataque.
8. Não está claro quem está por trás disto
Neste momento, ainda é desconhecido quem está distribuindo o resgate ou porquê, mas a semelhança com Petya levou alguns pesquisadores a sugerir que o Coelho Mau é do mesmo grupo de ataque – embora isso também não ajude a identificar o atacante ou o motivo, porque o perpetrador da epidemia de Junho nunca foi identificado.
O que marca este ataque é como ele infectou principalmente a Rússia – organizações criminosas cibernéticas da Europa Oriental tendem a evitar atacar a ‘pátria’, indicando que é improvável que este seja um grupo russo.
9. Ele contém referências ao Game of Thrones
Quem quer que esteja por trás do Bad Rabbit, eles parecem ser fãs do Game of Thrones: o código contém referências a Viserion, Drogon, e Rhaegal, os dragões que aparecem nas séries de televisão e os romances em que ele se baseia. Os autores do código não estão, portanto, fazendo muito para mudar a imagem estereotipada dos hackers sendo geeks e nerds.
Referências ao Jogo dos Tronos dragões no código.
Imagem: Kaspersky Lab
10. Você pode se proteger contra ser infectado por ele
Nesta fase, é desconhecido se é possível descriptografar arquivos bloqueados pelo Bad Rabbit sem ceder e pagar o resgate – embora os pesquisadores dizem que aqueles que se tornam vítimas não devem pagar a taxa, pois isso só incentivará o crescimento do resgate.
Vários fornecedores de segurança dizem que seus produtos protegem contra o Bad Rabbit. Mas para aqueles que querem ter certeza de que não são potencialmente vítimas do ataque, Kaspersky Lab diz que os usuários podem bloquear a execução do arquivo ‘c’: \ windows \ infpub.dat, C: Windows \ cscc.dat.’ para prevenir infecções.
Cobertura anterior
Bad Rabbit ransomware: Uma nova variante do Petya está se espalhando, avise os pesquisadores
Atualizado: Organizações na Rússia, Ucrânia e outros países têm sido vítimas do que se pensa ser uma nova variante de resgate.
LEIA MAIS EM RANSOMWARE
- Após o WannaCry, o resgate vai piorar antes de melhorar
- Ransomware: Um guia executivo para uma das maiores ameaças da web
- 6 dicas para evitar o resgate após Petya e WannaCry (TechRepublic)
- Sua falha em aplicar atualizações críticas de segurança cibernética está colocando sua empresa em risco a partir do próximo WannaCry ou Petya
- Como se proteger do resgate do WannaCry (CNET)