Bad Rabbit Infomach

Bad Rabbit: O que já se sabe sobre essa nova ameaça

Na última terça-feira, 24 de outubro de 2017, um novo ataque de ransomware batizado de Bad Rabbit se propagou na Rússia e Ucrânia, causando atrasos no aeroporto ucraniano de Odessa e afetando vários meios de comunicação na Rússia, incluindo a agência de notícias Interfax e Fontanka.ru. Horas depois, afetou o sistema de metrô em Kiev, na Ucrânia, o que gerou um alerta para outras empresas de serviços de massa e finanças na região.

Os criminosos por trás do ataque estão exigindo 0,05 bitcoin como resgate — o que é cerca de R$900 na taxa de câmbio atual da criptomoeda. Assim como em outros casos, o vírus usa um contador regressivo para pressionar a vítima a pagar pelo resgate o quanto antes. Não há garantias, porém, de que ao pagar a quantia pedida em bitcoin, os hackers vão liberar os seus dados no PC.

No Brasil, empresas do setor de comunicação e de outras áreas alertaram para a presença do ransomware na manhã desta quarta-feira (25).

Clientes Infomach, que possuem as soluções McAfee e/ou SonicWall estão protegidos, conforme será explicado no decorrer do artigo.

BAD RABBIT: O QUE JÁ SE SABE SOBRE ESSA NOVA AMEAÇA

O que já se sabe sobre o Bad Rabbit

O vírus chega por meio de um download falso do Flash Player

Os responsáveis pelo ataque invadiram diversos sites para incluir neles um código que leva alguns dos visitantes a um download falso do Adobe Flash Player. Foi divulgada uma lista de 23 sites que se sabe que foram adulterados para contaminar os visitantes, mas é possível que outros sites além destes 23 também estejam envolvidos.

A maioria das páginas é da Rússia e da Ucrânia, mas há também um endereço do Japão, um da República Checa, um da Romênia e alguns endereços voltados a internautas da Bulgária. Os sites comprometidos são os seguintes:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

Nenhuma vulnerabilidade é explorada no navegador do internauta. A vítima deve baixar e executar o arquivo oferecido. Também é possível que nem todos os visitantes recebam a janela de download, porque o navegador envia algumas informações para um servidor de controle, que pode determinar quem receberá o golpe.

Vale observar que os principais navegadores modernos, como o Chrome e o Edge, já incluem o Flash Player e, portanto, nenhum aviso sobre atualização do plug-in será verdadeira. Em outros navegadores, embora a instalação do Flash possa ser necessária, as atualizações devem ser sempre feitas a partir do site da Adobe.

Depois de contaminar o computador, o Bad Rabbit se espalha pela rede

De acordo com especialistas, o Bad Rabbit é capaz de se espalhar para outros computadores da rede usando credenciais de acesso. O vírus traz no código alguns pares de usuários e senhas comuns para tentar acessar as outras máquinas, mas também usa uma ferramenta para roubar a senha de acesso do próprio usuário do computador.

Um pesquisador da McAfee disse que o Bad Rabbit criptografa uma grande variedade de arquivos, incluindo .doc, .docx, .jpg e outros tipos comuns de arquivos. De acordo com vários pesquisadores, o Bad Rabbit contém referências à série Game of Thrones, especificamente os nomes de três dragões, Drogon, Rhaegal e Viserion.

Houve uma especulação de que o vírus poderia utilizar a brecha EternalBlue (a mesma que foi usada pelo WannaCry), mas isso não foi observado.

O código do Bad Rabbit tem semelhanças com o ExPetr/NotPetya

Os especialistas consideram que há bastante semelhança entre o Bad Rabbit e o vírus NotPetya, também chamado de ExPetr. O NotPetya atacou empresas na Europa, principalmente na Ucrânia, a partir do sistema de atualização automática de um programa ucraniano de contabilidade. O ataque ocorreu em junho.

O Bad Rabbit tem diferenças consideráveis, no entanto. A criptografia do disco rígido é realizada usando um componente do programa legítimo de código aberto DiskCryptor. Também é possível que a criptografia do Bad Rabbit possa sim ser revertida, enquanto o NotPetya – intencionalmente ou não – destruía a chave que permitiria recuperar os dados.

A maioria das vítimas está na Rússia

Pesquisas apontam que 65% dos sistemas infectados são russos. Também há registro de sistemas infectados na Ucrânia, Turquia e Japão.

Até o momento, não há casos registrados no Brasil.

Tanto a McAfee, quanto a SonicWall, parceiros Infomach, estão cientes da ameaça e já se pronunciaram sobre a mesma

A SonicWallem seu site, tranquilizou os seus usuários, constatando que:

“Os pesquisadores de ameaças da SonicWall Capture Labs investigaram o Bad Rabbit e a proficiência do serviço de sandboxing SonicWall Capture Advanced Threat Protection (ATP) contra o ransomware anteriormente desconhecido. Analisando três diferentes amostras do Bad Rabbit, o ATP de captura multi-motor obteve sucesso ao interromper todos os três ataques.

O SonicWall Capture Labs lançou assinaturas para proteger contra o malware de Bad Rabbit, que estão disponíveis para qualquer pessoa com uma assinatura de Gateway Security ativa (GAV / IPS). Além disso, o serviço de sandboxing de proteção contra ameaças avançadas (ATP) da SonicWall Capture é projetado para fornecer proteção em tempo real contra novas ameaças de malware antes mesmo que as assinaturas estejam disponíveis no firewall”.

A McAfee, também em seu site, criou um artigo explicando como os produtos McAfee protegem seus usuários contra o ransomware Bad Rabbit.

“A McAfee está liderando a forma como as empresas se protegem contra ameaças emergentes, como o Ransomware Bad Rabbit, corrigem problemas de segurança complexos e combatem ataques com uma plataforma de segurança inteligente de ponta a ponta que oferece proteção adaptável e contínua como parte do ciclo de vida da defesa da ameaça.

A McAfee já possuía proteção de dia zero para os componentes do ataque inicial do Bad Rabbit sob a forma de análises comportamentais, heurísticas, de controle de aplicativos e sandbox.”.

Vale notar que este é um ataque que funciona em computadores Windows. A Adobe, porém, já anunciou fim do Flash Player para 2020. Em seu lugar, vem sendo utilizada a tecnologia HTML5.

Ou seja, se você entrar em algum site que solicite a atualização do Flash para ver um vídeo ou ter acesso a algum conteúdo, não a faça via pop-ups do próprio site. Você pode descobrir se está utilizando a versão mais recente no próprio site da Adobe e obter o download seguro e original do Flash caso seja necessário seu uso.

Outras dicas para não ter problemas com o Bad Rabbit são:

  • Bloqueie execução de arquivos c:\windows\infpub.dat e c:\Windows\cscc.dat
  • Não realize qualquer atualização de softwares da Adobe, por agora
  • Se usar a linha CC, Adobe Cloud, fique offline e não ative o Cloud
  • Desabilite o serviço WMI
  • Realize um backup de seus arquivos
  • Se infectado, não pague. Não ajude nem incentive os cibercriminosos

Quer saber como proteger a rede de sua empresa? Nossos especialistas têm desenhado e implementado diversos projetos para nossos clientes. Basta ligar para (62) 3945-7955 ou acessar nossa página de contato

 

Comentários

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *