Blog

BadRabbit: novo surto de ransomware

Written by Carlos Borges | 30/out/2017 18:00:00

No dia 24/10 ocorreu mais um ataque do tipo ransomware que causou preocupação global. Chamado de “BadRabbit” (coelho mau), o malware age na codificação dos arquivos do computador e pede o pagamento de resgate em troca da liberação dos arquivos infectados.

Embora não se espalhe tão fortemente quanto o Petya/Non Petya, o novo golpe causou estragos em alguns países da Europa Oriental - como Rússia, Ucrânia e Turquia – e EUA. Há indícios, inclusive, que o código do BadRabbit tenha sido recompilado a partir do Petya/Non Petya.


Infecção

A infecção ocorre quando o usuário clica em um aviso falso de instalação do Flash Player, hospedado em sites específicos e legítimos que foram anteriormente comprometidos por cibercriminosos. Uma vez dentro da rede, se espalha coletando credenciais, além de criptografar todo disco.

Além disso, o malware se espalha por redes empresariais ao escanear outras máquinas e ainda consegue mais acessos na rede por meio de softwares nele embutidos.

Figura: Cadeia de infecção (Fonte: Trend Micro)

 

Tecnicamente falando

O ransomware faz uso do exploit Eternal Romance, mas o foco de movimentação lateral é via brute force com uso de senhas padrões para tentar acesso nos computadores em LAN. Uma vez com acesso, é utilizado uma versão limitada do mimikatz, para conseguir mais
privilégios.

A distribuição do malware é feita por uma técnica conhecida como drive-by-download. Um site legítimo é comprometido e passa a distribuir o código de infecção. Neste caso, quando alguém visita um site infectado, aparece uma oferta de update do Flash Player. Quando o mesmo é solicitado pelo usuário, um java Script faz o envio de informações ao servidor 185.149.120.3. Após isso é feito o download do malware pelo endereço 1dnscontrol[.]com. Este link está atualmente desativado.

O dropper precisa ser explicitamente executado pelo usuário, portando é importante que haja controle de acesso sobre o que os usuários podem executar e que a feature de UAC (User Access Control) esteja ativa.

Outros comportamentos são observados, como a criação de tarefas agendadas: uma para utilizar um binário legítimo do DiskCrypt e outra para reinicializar a máquina.

O Ransomware modifica a MBR, redirecionando o boot para o código do próprio malware.

 

Recuperação dos dados?

Segundo levantamento da Check Point, o ransomware pede um resgate de 0,05 BTC (cerca de US$ 280 ou R$ 920) nas primeiras 40 horas de infecção. Os pagamentos são realizados para uma carteira de Bitcoin única para cada dispositivo.


Recomendações

Proteger-se de ataques ransomware não é uma tarefa difícil:

  • Manter um backup dos dados críticos
  • Ter softwares de proteção bem configurados e monitorados
  • Atualizar os sistemas de infraestrutura da empresa e softwares utilizados nas máquinas do usuário

Para ataques similares ao BadRabbit, sugere-se que as empresas limitem e tenham maior controle sobre as ações dos usuários na máquina. Conhecido como “controle de acesso”, com ele é possível impedir que um usuário desavisado instale um software não autorizado (incluindo ransomwares).