Trend Micro analisa Ransomware Bad Rabbit: ameaça atinge serviços de transporte da Ucrânia, Turquia e Alemanha

Trend Micro analisa Ransomware Bad Rabbit: ameaça atinge serviços de transporte da Ucrânia, Turquia e Alemanha

Propagação é feita por meio de instalação fake do software Flash Player. Análises indicam que Bad Rabbit pode ser variante do ransomware Petya

 

São Paulo, outubro de 2017 – Um novo ransomware em circulação está atingindo os países da Europa Oriental. Segundo a Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem-, esta é uma provável variante do ransomware Petya denominada Bad Rabbit: (detectada pela Trend Micro como RANSOM_BADRABBIT.A).

Os produtos Trend Micro com segurança XGen™ detectaram proativamente esse ransomware como TROJ.Win32.TRX.XXPE002FF019 sem a necessidade de uma atualização padrão. Este ataque ocorre apenas alguns meses depois do anterior surto do Petya, que atingiu os países europeus em junho.


Pesquisas iniciais indicam que as principais vítimas são indústrias como sistemas de transporte e meios de comunicação na Ucrânia e na Rússia. O braço ucraniano do CERT (CERT-UA) também emitiu um aviso prévio sobre novos ataques potenciais de ransomware.

 

Análise inicial

 

Cadeia de infecção Bad Rabbit

A análise inicial da Trend Micro mostrou que o Bad Rabbit se espalha através de ataques do tipo “watering hole” que levam a um falso instalador de Flash denominado "install_flash_player.exe". Os sites comprometidos são injetados com um script que contém uma URL que direciona ao endereço hxxp: // 1dnscontrol [.] Com / flash_install, (inacessível até o momento da publicação deste comunicado). A Trend Micro observou também que alguns sites foram comprometidos na Dinamarca, Irlanda, Turquia e Rússia, que levavam ao falso instalador do Flash.

Código que demonstra o Script injetado

Uma vez que o instalador falso é clicado, ele solta o arquivo criptografado infpub.dat usando o processo rundll32.exe, juntamente com o arquivo criptografado dispci.exe.

Em sua rotina, o Bad Rabbit usa um trio de arquivos que trazem referência a série Game of Thrones, começando com rhaegal.job, responsável por executar o arquivo criptografo, bem como um segundo arquivo de trabalho, drogon.job, que é responsável para desligar a máquina da vítima.

Em seguida, o ransomware irá então criptografar os arquivos no sistema e exibir a nota de resgate mostrada abaixo:

Nota de ransomware do Bad Rabbit que mostra a chave de instalação

 

Um terceiro arquivo, viserion_23.job, reinicia o sistema alvo pela segunda vez. A tela é então bloqueada e a seguinte nota é exibida:

Nota do ransomware Bad Rabbit exibida após reiniciação do sistema

Baseada na análise inicial, o Bad Rabbit se espalha para outras máquinas, fazendo cópias de si mesmo na rede, usando o nome original e executando as cópias em por meio do Windows Management Instrumentation (WMI) e o Service Control Manager. Quando o protocolo remoto do Service Control Manager é usado, ele usa ataques de dicionário para as credenciais.

Em relação às ferramentas que o Bad Rabbit incorpora, o utilitário de código aberto Mimikatz, é usado para a extração de credenciais. A Trend Micro também encontrou evidências desse dado usando o DiskCryptor, uma legítima ferramenta de criptografia de disco, para criptografar os alvos de destino.

É importante notar que Bad Rabbit não explora quaisquer vulnerabilidades, ao contrário de Petya que usou EternalBlue como parte de sua rotina.

 

Mitigação e Boas Práticas

Usuários podem mitigar o impacto de ransomwares como o Bad Rabbit com as melhores práticas encontrada neste guia.

Soluções Trend Micro

A segurança da Trend Micro XGen ™ fornece uma combinação de técnicas de defesa contra ameaças com uma gama completa de soluções para data centers, ambientes em nuvem, redes e endpoints.

Conta com machine learning de alta fidelidade para proteger os dados e aplicações do gateway e de endpoint e protege as workloads físicas, virtuais e em nuvem.

Com recursos como filtragem de web / URL, análise comportamental e sandboxing personalizado, o XGen ™ protege contra as ameaças de propósito específico de hoje, que ignoram os controles tradicionais, exploram vulnerabilidades conhecidas, desconhecidas ou não divulgadas e roubam ou encriptam dados pessoalmente identificáveis.


 Mais informações sobre as soluções Trend Micro podem ser encontradas neste artigo.

 Abaixo os hashes SHA256 detectados como RANSOM_BADRABBIT.A:

·         630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

·         8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

 

 

Hashes adicionais relacionados a esse ransomware:

install_flash_player.exe:

·         630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

infpub.dat:

·         579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

·         141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0

dispci.exe:

·         8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Share This Post

Post Comment