Una nueva campaña de ransomware está afectando a los países del Este de Europa con lo que parece ser una variante del ransomware Petya que ha sido denominada Bad Rabbit. Los informes iniciales vinculan a las principales víctimas con sistemas de transporte y medios de comunicación de Ucrania y Rusia. Tanto, que la rama ucraniana de CERT (CERT-UA) ha emitido una advertencia alertando de posibles ataques de ransomware.

Casi 200 empresas afectadas

Bad Rabbit parece haber afectado ya a casi 200 objetivos, ubicados en Rusia, Ucrania, Turquía y Alemania principalmente. Sin embargo, ESET ha dientificado casos de “Bad Rabbit” en Japón y Bulgaria. Avast, por su parte, señala que el ransomware ha sido detectado en Estados Unidos, Corea del Sur y Polonia.

También se afirma que los ataques empezaron el 24 de octubre, y no se han detectado fuera de esa fecha. Así, una vez que la infección se hizo más generalizada y las compañías de seguridad empezaron a investigar, los ciberdelincuentes eliminaron inmediatamente el código malicioso que habían agregado a los sitios web hackeados.

Además, según el análisis de los expertos de Kaspersky Lab, el algoritmo hash utilizado en el ataque es similar al utilizado por ExPetr, protagonista el pasado mes de junio cuando el brote anterior de Petya azotó varios países europeos.  Además, parece que ambos ataques utilizan los mismos dominios; y las similitudes en los respectivos códigos fuente indican que el nuevo ataque está ligado a los creadores de ExPetr.

Así mismo, al igual que exPetr, Bad Rabbit intenta hacerse con credenciales de la memoria del sistema y difundirse dentro de la red corporativa por WMIC. Sin embargo, los analistas no han encontrado los exploits EternalBlue o EternalRomance en el ataque del Bad Rabbit; ambos utilizados en ExPetr.

¿Cómo se propaga el malware?

Trend Micro afirma que Bad Rabbit se propaga a través del tipo watering hole que dirigen al instalador de Flash falso “install_flash_player.exe”. Los sitios comprometidos se inyectan con un script que contiene una URL que se resuelve en hxxp: // 1dnscontrol [.] Com / flash_install, y que esta inaccesible a partir del momento de la publicación. “En Trend Micro hemos observado algunos sitios comprometidos en Dinamarca, Irlanda, Turquía y Rusia, donde se entregó el instalador Flash falso” aseguran desde la empresa.

Figure 1: Bad Rabbit Infection Chain

Una vez que se pincha en el instalador falso, se libera el archivo de cifrado infpub.dat utilizando el proceso rundll32.exe, junto con el archivo de descifrado dispci.exe. Como parte de su rutina, Bad Rabbit utiliza un trío de archivos que hacen referencia a la serie Juego de Tronos, comenzando con rhaegal.job, que es responsable de ejecutar el archivo de descifrado, seguido de un segundo archivo de trabajo, drogon.job, que es responsable de apagar la máquina de la víctima. Después, el ransomware procederá a cifrar ficheros en el sistema y mostrar la nota de rescate que se incluye a continuación.

 Figure 3: Bad Rabbit ransom note showing the installation key

Un tercer archivo, viserion_23.job, reinicia el sistema de destino por segunda vez. La pantalla se bloquea y se muestra la siguiente nota:

 Figure 4: Bad Rabbit ransom note displayed after system reboot

Bad Rabbit se propaga a otros equipos en la red liberando copias de sí mismo en la red utilizando su nombre original y ejecutando las copias liberadas usando Windows Management Instrumentation (WMI) y Service Control Manager Remote Protocol. Cuando se utiliza Service Control Manager Remote Protocol, emplea ataques de diccionario para las credenciales.

Según se informa, entre las herramientas que Bad Rabbit incorpora está la utilidad de código abierto Mimikatz, que se utiliza para la obtención de credenciales. También se encuentra  evidencia de la utilización de DiskCryptor, una herramienta de cifrado de disco legítima, para codificar los sistemas objetivo.

Un ataque preparado desde julio

Las diversas investigaciones muestran que los ciberatacantes que están tras esta operación se han estado preparando al menos desde julio de 2017, creando su red de infección en sitios hackeados, principalmente medios de comunicación y recursos de información de noticias.

Sin embargo, es importante tener en cuenta que Bad Rabbit no explota ninguna vulnerabilidad, a diferencia de Petya que usó EternalBlue como parte de su rutina.

¿Cómo puedes protegerte?

En los últimos años, el ransomware se ha convertido en uno de los ataques más usados por los ciberdelincuentes; los datos son los activos más valiosos que tenemos, y ellos se aprovechan de esto para pedirnos un rescate a cambio de ellos. Se trata de un malware muy peligroso porque una vez que infecta un equipo, puede cifrar todos los archivos, sin que la víctima se dé cuenta de nada hasta que ya no puede hacer nada. 

Sin embargo, sí que hay una serie de medidas y consejos que los usuarios pueden tomar para evitar en la medida de lo posible ser víctimas de este tipo de ataques.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia @Drodriguezleal

Deja un comentario