Malware Bad Rabbit

Um novo e malicioso ransomware chamado Bad Rabbit, começou a espalhar esta terça-feira passada 24 de outubro , com a maioria das infecções relatadas visto na Rússia. No entanto, como o vírus Bad Rabbit é auto-propagado e pode se espalhar por redes corporativas, as organizações internacionais devem permanecer particularmente vigilantes.

Um pequeno número de tentativas de infecção também foram registradas na Ucrânia. CERT-UA , a equipe ucraniana de resposta a emergências informáticas, disse que houve uma "distribuição maciça" de Bad Rabbit no país.

Um boletim anterior da agência disse que o aeroporto de Odessa e o metrô de Kiev foram afetados por um ataque cibernético, mas não especificaram se o Bad Rabbit estava envolvido. Desde então, foi confirmado que Bad Rabbit era, de fato, o culpado.

Primeira Rússia, então, Ucrânia, agora os EUA: Departamento de Segurança Interna dos EUA pergunta sobre questões de segurança  

No início da manhã de quarta-feira, a líder da empresa de segurança anti-vírus, Avast, informou que o vírus Bad Rabbit tinha chegado aos EUA. Embora os detalhes de violação específicos sejam difíceis de encontrar, o Departamento de Segurança Interna dos Estados Unidos (DHS) emitiu um aviso sobre Bad Rabbit ontem afirmando:

"O US-CERT recebeu vários relatórios de infecções de Ransomware Bad Rabbit  em muitos países ao redor do mundo. Esta variante suspeita de Petya ransomware é um software malicioso que infecta um computador e restringe o acesso do usuário à máquina infectada até que um resgate seja pago para desbloqueá-lo.

O US-CERT desencoraja indivíduos e organizações de pagar o resgate

Pois isso não garante que o acesso seja restaurado. Usar software não corrigido e não suportado pode aumentar o risco de proliferação de ameaças à segurança cibernética, como o ransomware ".

O DHS pediu às empresas que tomassem conhecimento e fiquem atentas  a este último ataque de malware. Para combater a ameaça, o DHS pede aos profissionais de TI que revejam os alertas do US-CERT  TA16-181A e  TA17-132A , cada um dos quais descreve os recentes eventos do ransomware.

Embora os cibercriminosos geralmente possam ser difíceis de rastrear e processar, o DHS pede aos profissionais que reconheçam a importância de fazer relatórios explícitos no caso de um ataque. A organização pediu a potenciais vítimas de Bad Rabbit que denunciem incidentes de resgate no  Internet Crime Complaint Center (IC3) imediatamente.

Lembre-se do vírus Petya em junho? Bad Rabbit é semelhante e tão malicioso

Bad Rabbit tem muitas semelhanças com o surto do vírus Petya de junho de 2017 . Ambas as famílias de malwares usam um estilo similar de demanda de resgate e empregam um mecanismo de auto-propagação. Ambas as ameaças também contêm um componente que visa a gravação principal de inicialização (MBR) de um computador infectado, que substitui o MBR existente.

No entanto, enquanto a Petya usa o recurso EternalBlue para se espalhar para além das técnicas clássicas pela rede SMB, Bad Rabbit não usa EternalBlue e emprega apenas a última técnica.

Petya era tecnicamente "um limpador"

Em vez de ransomware, uma vez que não havia como recuperar uma chave de descriptografia. Uma análise sobre o  Bad Rabbit confirma que não é um "limpador" e os dados criptografados são recuperáveis ​​se a chave for conhecida.

Um dos aspectos mais notáveis ​​do Bad Rabbit

É o uso de pelo menos três ferramentas de código aberto de terceiros. Além de Mimikatz, Bad Rabbit também usa a ferramenta de criptografia de código aberto DiskCryptor para executar criptografia. Ele também usa drivers da ReactOS , uma alternativa de código aberto para o Windows, reduzindo assim a quantidade de atividade suspeita detectável em um computador infectado.

Breaking the Bad Rabbit: como o malware invade redes empresariais

A infecção inicial leva a cabo redes através de downloads drive-by em sites comprometidos. O malware é disfarçado como uma atualização falsa para o Adobe Flash Player , projetado especificamente para enganar as vítimas para infectar suas máquinas.

O download é originário de um domínio chamado 1dnscontrol [dot] com , embora os visitantes possam ter sido redirecionados para lá de outro domínio comprometido.Uma vez instalado no computador de uma vítima, Bad Rabbit tenta se espalhar através de sua rede via SMB (Server Message Block).

Para obter as credenciais necessárias

Bad Rabbit vem embalado com uma versão da Mimikatz , uma ferramenta de hacking capaz de alterar privilégios e recuperar senhas do Windows em texto simples. O malware também usa uma lista hardcoded de credenciais padrão usadas comumente para tentar adivinhar senhas para acesso ainda mais fácil.

O que acontece depois que  o Bad Rabbit ganha acesso

O vírus funciona rapidamente para criptografar o conteúdo de um computador e pede um pagamento de 0.05 bitcoins , ou cerca de US $ 280 (£ 213), de acordo com relatórios recentes. Pior ainda? Uma vez que a demanda de resgate foi feita, uma contagem regressiva começa a piscar na tela, exortando as vítimas a pagar antes que o relógio se esgote. Se o pagamento não for feito antes do clock-out, o montante do resgate apenas aumentará.

No entanto, tome nota desta palavra aos sábios

As vítimas são fortemente encorajadas a não pagar demandas de resgate. Por que não? Por um lado, não há absolutamente nenhuma garantia de que o pagamento irá restaurar o acesso aos dados. Em segundo lugar, bem como a recusa em negociar com terroristas, recusar-se a pagar o resgate desencoraja os criminosos de usar ataques semelhantes no futuro. Se as vítimas não pagam, os cibercriminosos vão perceber que suas tentativas de roubo não vão compensar.

Dados em risco: entender como o coelho é ruim implantado criptografia

Uma vez instalado, Bad Rabbit irá procurar e criptografar dados da máquina. Bad Rabbit não leva prisioneiros uma vez que a invasão está completa e todos os arquivos com as seguintes extensões estão disponíveis:

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

Os arquivos criptografados não recebem uma extensão

Ao contrário da maioria das infecções de ransomware, os arquivos criptografados não recebem uma extensão especial. Em vez disso, para verificar se eles já foram processados, o ransomware anexa um marcador especial no final de um arquivo criptografado, uma seqüência "criptografada" Unicode .

Uma vez que os arquivos individuais são criptografados, Bad Rabbit irá então executar uma criptografia de disco completo . Depois que o sistema for reiniciado, uma nota de resgate é exibida, exigindo pagamento de bitcoína para descriptografia .

Swift Response da Symantec: Proteções no lugar para usuários da Symantec

Os clientes podem dar um suspiro de alívio, sabendo que estão realmente protegidos contra a atividade de Bad Rabbit.  Possuímos uma variedade de ferramentas antivírus, avançadas de aprendizado de máquina, detecção de comportamento, proteção de rede e segurança de dados no local para manter os usuários seguros. Para obter detalhes completos, confira a lista das atualizações de proteção da Symantec abaixo:

Atualizações antivírus

• BadRabbit
• BadRabbit! G1
• BadRabbit! G2

Tecnologia de detecção de comportamento SONAR Atualizações

• Cryptlocker! G80

Atualizações avançadas de aprendizado de máquina

• AdvML.B

Produtos de Proteção de Rede

• • O Aparelho de Análise de Malware detecta atividade associada ao BadRabbit
  • Os clientes com produtos habilitados para Webpulse são protegidos contra atividades associadas com Bad Rabbit

Produtos de segurança do Data Center

• • Os mecanismos anti-malware do Data Center Security Server protegem os clientes
  • O Data Center Security Server Advanced protege contra o drive-by-download e Mimikatz

Permanecendo Vigilante, Consciente e Preparado: Permanecer Sintonizado é a Melhor Defesa Contra Infecções Cibernéticas

As organizações empresariais são particularmente vulneráveis ​​a ameaças como Bad Rabbit por causa do mecanismo de infecção que eles implantam. Uma vez que um computador em uma rede se torna infectado, Bad Rabbit tentará se copiar para outros computadores na rede, o que poderia potencialmente causar sérios danos a redes mal protegidas.

À medida que as notícias em torno de Bad Rabbit continuam a desenvolver, os profissionais de TI devem estar em alerta elevado - trabalhando deliberadamente para monitorar e proteger suas redes de negócios e implementar medidas de segurança como as descritas pela Symantec acima. Desconfie dos prompts de download do Adobe Flash. Fale com outros profissionais de negócios para divulgar a palavra.

Compartilhar postagem?