BadRabbit: novo surto de ransomware

0

 

No dia 24/10 ocorreu mais um ataque do tipo ransomware que causou preocupação global. Chamado de "BadRabbit" (coelho mau), o malware age na codificação dos arquivos do computador e pede o pagamento de resgate em troca da liberação dos arquivos infectados.

Embora não se espalhe tão fortemente quanto o Petya/Non Petya, o novo golpe causou estragos em alguns países da Europa Oriental – como Rússia, Ucrânia e Turquia – e EUA. Há indícios, inclusive, que o código do BadRabbit tenha sido recompilado a partir do Petya/Non Petya.

Infecção

A infecção ocorre quando o usuário clica em um aviso falso de instalação do Flash Player, hospedado em sites específicos e legítimos que foram anteriormente comprometidos por cibercriminosos. Uma vez dentro da rede, se espalha coletando credenciais, além de criptografar todo disco.

Além disso, o malware se espalha por redes empresariais ao escanear outras máquinas e ainda consegue mais acessos na rede por meio de softwares nele embutidos.

Figura: Cadeia de infecção (Fonte: Trend Micro)io malware.

O ransomware faz uso do exploit Eternal Romance, mas o foco de movimentação lateral é via brute force com uso de senhas padrões para tentar acesso nos computadores em LAN. Uma vez com acesso, é utilizado uma versão limitada do mimikatz, para conseguir mais privilégios.

A distribuição do malware é feita por uma técnica conhecida como drive-by-download. Um site legítimo é comprometido e passa a distribuir o código de infecção. Neste caso, quando alguém visita um site infectado, aparece uma oferta de update do Flash Player.

Quando o mesmo é solicitado pelo usuário, um java Script faz o envio de informações ao servidor

185.149.120.3. Após isso é feito o download do malware pelo endereço 1dnscontrol[.]com. Este link está atualmente desativado.

O dropper precisa ser explicitamente executado pelo usuário, portando é importante que haja controle de acesso sobre o que os usuários podem executar e que a feature de UAC (User Access Control) esteja ativa.

Outros comportamentos são observados, como a criação de tarefas agendadas: uma para utilizar um binário legítimo do DiskCrypt e outra para reinicializar a máquina.

O Ransomware modifica a MBR, redirecionando o boot para o código do próprio malware.

Recuperação dos dados?

Segundo levantamento da Check Point, o ransomware pede um resgate de 0,05 BTC (cerca de US$ 280 ou R$ 920) nas primeiras 40 horas de infecção. Os pagamentos são realizados para uma carteira de Bitcoin única para cada dispositivo.
Recomendações

Proteger-se de ataques ransomware não é uma tarefa difícil:

  • Manter um backup dos dados críticos
  • Ter softwares de proteção bem configurados e monitorados
  • Atualizar os sistemas de infraestrutura da empresa e softwares utilizados nas máquinas do usuário

Para ataques similares ao BadRabbit, sugere-se que as empresas limitem e tenham maior controle sobre as ações dos usuários na máquina. Conhecido como "controle de acesso", com ele é possível impedir que um usuário desavisado instale um software não autorizado (incluindo ransomwares).

Carlos Borges, especialista em cibersegurança do Arcon Labs.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.