Bad Rabbit: nova epidemia de ransomware usa sites contaminados

Tiveram dois ataques em grande escala do Ransomware ano passado – WannaCry e ExPetr (também conhecido como Petya e NotPetya). Parece que um terceiro ataque está em ascensão: o malware Bad Rabbit – nome indicado pelo site darknet citado na nota de resgate.

O que se sabe até agora é que o Bad Rabbit infectou vários grandes meios de comunicação russos, como as agências de notícias Interfax e Fontanka.ru. O Aeroporto Internacional de Odessa (Ucrânia) informou sobre um ataque cibernético em seu sistema de informação.

Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate – aproximadamente US$ 280 à taxa de câmbio atual.

De acordo com as descobertas, o ataque não usa exploits. É um ataque drive-by: as vítimas baixam um falso instalador do Adobe Flash de sites infectados e iniciam manualmente o arquivo .exe, infectando-se assim. Pesquisadores detectaram uma série de sites comprometidos, todas de notícias ou de mídia.

Se é possível recuperar arquivos criptografados por Bad Rabbit (seja pagando o resgate ou usando alguma falha no código do ransomware) ainda não é conhecido. Os especialistas da Kaspersky Lab estão investigando o ataque e estaremos atualizando esta publicação com suas descobertas.

De acordo com dados, a maioria das vítimas está na Rússia. Tiveram ataques semelhantes, porém menos, na Ucrânia, Turquia e Alemanha. Este ransomware infectou dispositivos por meio de uma série de sites de mídia russo hackeados. Com base em nossa investigação, é um ataque direcionado contra redes corporativas, usando métodos semelhantes aos usados ​​no ataque do ExPetr.

Especialistas coletaram evidências suficientes para vincular o ataque de Bad Rabbit com o do ExPetr, em junho deste ano. De acordo com as análises, alguns dos códigos usados no Bad Rabbit foram vistos no ExPetr.

Outras semelhanças incluem a mesma lista de domínios utilizados para o ataque drive-by (alguns desses domínios foram hackeados em junho, mas não utilizados), bem como as mesmas técnicas utilizadas para espalhar o malware em redes corporativas – ambos os ataques utilizaram o Windows Management Instrumentation Command Line (WMIC). No entanto, há uma diferença: ao contrário do ExPetr, o Bad Rabbit não usa o EternalBlue – ou qualquer outro exploit.

Especialistas pensam que o mesmo ator da ameaça está atrás de ambos os ataques e que ele estava preparando o ataque Bad Rabbit desde julho deste ano, ou mesmo antes.

Os produtos da Kaspersky Lab detectam o ataque com os seguintes nomes: UDS: DangerousObject.Multi.Generic (detectado pela Kaspersky Security Network), PDM: Trojan.Win32.Generic (detectado pelo System Watcher) e Trojan-Ransom.Win32.Gen.ftl.

Para evitar ser uma vítima do Bad Rabbit:

  • Bloqueie a execução dos arquivos c:\windows\ infpub.dat e c:\Windows\cscc.dat.
  • Desative o serviço WMI (se for possível no seu ambiente) para impedir que o malware se espalhe pela sua rede.

Dicas para todos:

  • Faça backup de seus dados.
  • Não pague o resgate.