Propagação é feita por meio de instalação fake do software Flash Player. Análises indicam que Bad Rabbit pode ser variante do ransomware Petya
São Paulo, outubro de 2017 – Um novo ransomware em circulação está atingindo os países da Europa Oriental. Segundo a Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem-, esta é uma provável variante do ransomware Petya denominada Bad Rabbit: (detectada pela Trend Micro como RANSOM_BADRABBIT.A).
Os produtos Trend Micro com segurança XGen™ detectaram proativamente esse ransomware como TROJ.Win32.TRX.XXPE002FF019 sem a necessidade de uma atualização padrão. Este ataque ocorre apenas alguns meses depois do anterior surto do Petya, que atingiu os países europeus em junho.
Pesquisas iniciais indicam que as principais vítimas são indústrias como sistemas de transporte e meios de comunicação na Ucrânia e na Rússia. O braço ucraniano do CERT (CERT-UA) também emitiu um aviso prévio sobre novos ataques potenciais de ransomware.
Análise inicial
Cadeia de infecção Bad Rabbit
A análise inicial da Trend Micro mostrou que o Bad Rabbit se espalha através de ataques do tipo “watering hole” que levam a um falso instalador de Flash denominado "install_flash_player.exe". Os sites comprometidos são injetados com um script que contém uma URL que direciona ao endereço hxxp: // 1dnscontrol [.] Com / flash_install, (inacessível até o momento da publicação deste comunicado). A Trend Micro observou também que alguns sites foram comprometidos na Dinamarca, Irlanda, Turquia e Rússia, que levavam ao falso instalador do Flash.
Código que demonstra o Script injetado
Uma vez que o instalador falso é clicado, ele solta o arquivo criptografado infpub.dat usando o processo rundll32.exe, juntamente com o arquivo criptografado dispci.exe.
Em sua rotina, o Bad Rabbit usa um trio de arquivos que trazem referência a série Game of Thrones, começando com rhaegal.job, responsável por executar o arquivo criptografo, bem como um segundo arquivo de trabalho, drogon.job, que é responsável para desligar a máquina da vítima.
Em seguida, o ransomware irá então criptografar os arquivos no sistema e exibir a nota de resgate mostrada abaixo:
Nota de ransomware do Bad Rabbit que mostra a chave de instalação
Um terceiro arquivo, viserion_23.job, reinicia o sistema alvo pela segunda vez. A tela é então bloqueada e a seguinte nota é exibida:
Nota do ransomware Bad Rabbit exibida após reiniciação do sistema
Baseada na análise inicial, o Bad Rabbit se espalha para outras máquinas, fazendo cópias de si mesmo na rede, usando o nome original e executando as cópias em por meio do Windows Management Instrumentation (WMI) e o Service Control Manager. Quando o protocolo remoto do Service Control Manager é usado, ele usa ataques de dicionário para as credenciais.
Em relação às ferramentas que o Bad Rabbit incorpora, o utilitário de código aberto Mimikatz, é usado para a extração de credenciais. A Trend Micro também encontrou evidências desse dado usando o DiskCryptor, uma legítima ferramenta de criptografia de disco, para criptografar os alvos de destino.
É importante notar que Bad Rabbit não explora quaisquer vulnerabilidades, ao contrário de Petya que usou EternalBlue como parte de sua rotina.
Mitigação e Boas Práticas
Usuários podem mitigar o impacto de ransomwares como o Bad Rabbit com as melhores práticas encontrada neste guia.
Soluções Trend Micro
A segurança da Trend Micro XGen ™ fornece uma combinação de técnicas de defesa contra ameaças com uma gama completa de soluções para data centers, ambientes em nuvem, redes e endpoints.
Conta com machine learning de alta fidelidade para proteger os dados e aplicações do gateway e de endpoint e protege as workloads físicas, virtuais e em nuvem.
Com recursos como filtragem de web / URL, análise comportamental e sandboxing personalizado, o XGen ™ protege contra as ameaças de propósito específico de hoje, que ignoram os controles tradicionais, exploram vulnerabilidades conhecidas, desconhecidas ou não divulgadas e roubam ou encriptam dados pessoalmente identificáveis.
Mais informações sobre as soluções Trend Micro podem ser encontradas neste artigo.
Abaixo os hashes SHA256 detectados como RANSOM_BADRABBIT.A:
· 630325cac09ac3fab908f903e3b00d
· 8ebc97e05c8e1073bda2efb6f4d00a
Hashes adicionais relacionados a esse ransomware:
install_flash_player.exe:
· 630325cac09ac3fab908f903e3b00d
infpub.dat:
· 579fd8a0385482fb4c789561a30b09
· 141d45d650580ed4b0d0fc4b8fd544
dispci.exe:
· 8ebc97e05c8e1073bda2efb6f4d00a