¿Qué es y cómo se distribuye Bad Rabbit?
Bad Rabbit es una familia nueva de ransomware que se desconocía hasta ahora.
El ransomware dropper se distribuye con la ayuda de ataques de autocontrol. Mientras el objetivo está visitando un sitio web legítimo, se está descargando el malware en segundo plano. No se utilizan exploits, por lo que la víctima tendría que ejecutar manualmente el programa de software malicioso, que pretende ser un instalador de Adobe Flash. Sin embargo, nuestro análisis confirmó que Bad Rabbit utiliza la explotación EternalRomance como vector de infección para propagarse dentro de las redes corporativas. En el ExPetr se utilizó la misma metodología.
Hemos detectado una serie de sitios web comprometidos, todos son webs de noticias o medios de comunicación.
¿A quién se dirige?
La mayoría de los objetivos se encuentran en Rusia. En otros países como Ucrania, Turquía y Alemania, también se han detectado ataques similares pero mucho más débiles. En total, hay casi 200 objetivos, según las estadísticas de KSN.
¿Desde cuándo Kaspersky Lab detecta la amenaza?
La amenaza se está detectando proactivamente desde la mañana del 24 de octubre. El ataque duró hasta el mediodía, aunque se detectaron ataques continuos a las 19.55 horas de Moscú. El servidor desde el que se distribuyó el dropper de Bad Rabbit fue puesto offline a última hora de la noche.
¿En qué se diferencia de ExPetr? ¿O es el mismo malware?
Se trata de un ataque dirigido contra redes corporativas, utilizando métodos similares a los utilizados durante el ataque ExPetr. Además, el análisis del código mostró una notable similitud entre el código de los binarios ExPetr y Bad Rabbit. Las víctimas son redirigidas a este recurso web de malware desde sitios web de noticias legítimas.
El archivo descargado llamado install_flash_player.exe debe ser ejecutado manualmente por la víctima. Para funcionar correctamente, necesita privilegios administrativos elevados que intenta obtener utilizando el indicador de UAC estándar. Si se inicia, guardará el DLL malicioso como C: \Windows\infpub.dat y lo ejecutará usando rundll32.
Esquema de cifrado
Como mencionamos, el Ransomware de Bad Rabbit encripta los archivos y el disco de una víctima. Los archivos se cifran con los siguientes algoritmos:
AES-128-CBC
RSA-2048
Es un esquema de cifrado que se utiliza habitualmente en los ransomware.
Un hecho interesante es que el ransomware enumera todos los procesos en ejecución y compara el nombre de hash de cada proceso con los valores de hash incrustados. Es importante mencionar que el algoritmo de hashing es similar al de ExPetr.
Recomendaciones
Kaspersky Lab también se aconseja a los clientes corporativos:
- Asegúrese de que todos los mecanismos de protección estén activados como se recomienda; y que los componentes KSN y System Watcher (vienen activados por defecto) no estén desactivados.
- Actualice las bases de datos antivirus inmediatamente.
Las medidas antes mencionadas deben ser suficientes. Sin embargo, como precauciones adicionales aconsejamos lo siguiente:
- Restringir la ejecución de archivos con las rutas c:\windows\infpub.dat y C:\Windows\cscc.dat en Kaspersky Endpoint Security.
- Configurar y habilitar el modo de Denegación Automática en el Control de Inicio de Aplicaciones de Kaspersky Endpoint Security para asegurarse la defensa proactiva contra este y otros ataques.
Los productos de Kaspersky Lab detectan esta amenaza con los siguientes veredictos:
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- DangerousObject.Multi.Generic
- PDM:Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
Cada día hay que tener más cuidado a la hora de navegar, hay que intentar tener siempre el Firewall y el Antivirus activo y actualizado y, si nos lo podemos permitir navegar detrás de un proxy o una VPN, aunque esto no nos salvará de todos los males, especialmente de los que necesitan de nuestra interactuación, si evitaremos ciertos impactos directos.