Bad Rabbit: nova epidemia de ransomware começa a se espalhar pelo mundo

Tempo de Leitura: 2min

Escrito por Natália Scalzaretto

Em 26 de October de 2017

Já vimos dois ataques em grande escala do Ransomware este ano – WannaCry e ExPetr (também conhecido como Petya e NotPetya). Parece que um terceiro ataque está em ascensão: o malware Bad Rabbit – nome indicado pelo site darknet citado na nota de resgate.

O que se sabe até agora é que o Bad Rabbit infectou vários grandes meios de comunicação russos, como as agências de notícias Interfax e Fontanka.ru. O Aeroporto Internacional de Odessa (Ucrânia) informou sobre um ataque cibernético em seu sistema de informação.

Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate – aproximadamente US$ 280 à taxa de câmbio atual.

De acordo com nossas descobertas, o ataque não usa exploits. É um ataque drive-by: as vítimas baixam um falso instalador do Adobe Flash de sites infectados e iniciam manualmente o arquivo .exe, infectando-se assim. Nossos pesquisadores detectaram uma série de sites comprometidos, todas de notícias ou de mídia.

Se é possível recuperar arquivos criptografados por Bad Rabbit (seja pagando o resgate ou usando alguma falha no código do ransomware) ainda não é conhecido.

De acordo com nossos dados, a maioria das vítimas está na Rússia. Também vimos ataques semelhantes, porém menos, na Ucrânia, Turquia e Alemanha. Este ransomware infectou dispositivos por meio de uma série de sites de mídia russo hackeados. Com base em nossa investigação, é um ataque direcionado contra redes corporativas, usando métodos semelhantes aos usados ​​no ataque do ExPetr.

Nossos especialistas coletaram evidências suficientes para vincular o ataque de Bad Rabbit com o do ExPetr, em junho deste ano. De acordo com as análises, alguns dos códigos usados no Bad Rabbit foram vistos no ExPetr.

Outras semelhanças incluem a mesma lista de domínios utilizados para o ataque drive-by (alguns desses domínios foram hackeados em junho, mas não utilizados), bem como as mesmas técnicas utilizadas para espalhar o malware em redes corporativas – ambos os ataques utilizaram o Windows Management Instrumentation Command Line (WMIC). No entanto, há uma diferença: ao contrário do ExPetr, o Bad Rabbit não usa o EternalBlue – ou qualquer outro exploit.

Nossos especialistas pensam que o mesmo ator da ameaça está atrás de ambos os ataques e que ele estava preparando o ataque Bad Rabbit desde julho deste ano, ou mesmo antes.

Para evitar ser uma vítima do Bad Rabbit:

– Bloqueie a execução dos arquivos c:\windows\ infpub.dat e c:\Windows\cscc.dat.
– Desative o serviço WMI (se for possível no seu ambiente) para impedir que o malware se espalhe pela sua rede.

Dicas: 

– Faça backup de seus dados.
– Não pague o resgate.

Fonte: Blog Kaspersky 

Você também pode gostar de…

As três maiores ciberameaças de 2019 e o que aprendemos com elas
As três maiores ciberameaças de 2019 e o que aprendemos com elas

Crimes virtuais estão se tornando cada vez mais comuns A segurança da informação está se tornando cada vez mais uma preocupação no Brasil. Pudera: de acordo com a empresa de segurança da informação Unysis, 85% dos brasileiros foram vítimas de crimes virtuais, como...

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

Entre em contato conosco

You have Successfully Subscribed!

Política de Privacidade

Este site usa cookies para fornecer seus serviços e melhorar sua experiência no site. Ao utilizar nosso portal, você concorda com o uso de cookies e nossa política de privacidade.

You have Successfully Subscribed!