Um novo ataque de ransonware colocou a internet em estado de alerta. Até o momento, o Bad Rabbit afeta países da Europa Oriental, como Rússia Ucrânia e Turquia. Embora não se espalhe tão amplamente quanto os ataques Petya/NotPetya, relatórios indicam que, quando o Bad Rabbit começou, causou graves interrupções em organizações, levando o CERT ucraniano (equipe de respostas de emergência em computadores) a emitir alerta.
Segundo relatório da Palo Alto Networks, o Bad Rabbit invade o ambiente de computação a partir de uma atualização do Adobe Flash. Uma vez dentro de uma rede, ele se espalha coletando credenciais com a ferramenta Mimikatz, além de usar credenciais codificadas.
O Bad Rabbit é semelhante ao Petya / NotPetya na medida em que criptografa todo o disco.
Como o vetor de ataque inicial é através de atualizações falsas, os ataques do Bad Rabbit podem ser evitados utilizando somente atualizações do Adobe Flash no site da Adobe.
O ataque não parece ter um alvo específico. Portanto, parece haver pouco trabalho de reconhecimento como parte desse ataque.
Exploitation.
De acordo com a ESET, o vetor de infecção inicial do Bad Rabbit é por meio de uma falsa atualização do Adobe Flash que é oferecida a partir de sites comprometidos.
O pesquisador da Proofpoint, Darien Huss, informou que esta falsa atualização foi hospedada no servidor 1dnscontrol[.]com. Os relatórios diferem sobre o método de entrega, se o ransomware é entregue através de engenharia social, convencendo o usuário a instalar a atualização falsa, ou se é entregue de forma silenciosa através de vulnerabilidades não corrigidas (ou seja, instalações "drive-by").
Uma vez dentro de uma rede, o Bad Rabbit se propaga para outros sistemas. Os relatórios indicam que o ransomware coleta credenciais usando Mimikatz (uma ferramenta de ataque que afeta a segurança do Windows) e o especialista em segurança Maarten van Dantzig relatou que também usa credenciais comuns codificadas para se espalhar.
