No dia 24/10 ocorreu mais um ataque do tipo ransomware que causou preocupação global. Chamado de “BadRabbit” (coelho mau), o malware age na codificação dos arquivos do computador e pede o pagamento de resgate em troca da liberação dos arquivos infectados.
Embora não se espalhe tão fortemente quanto o Petya/Non Petya, o novo golpe causou estragos em alguns países da Europa Oriental - como Rússia, Ucrânia e Turquia – e EUA. Há indícios, inclusive, que o código do BadRabbit tenha sido recompilado a partir do Petya/Non Petya.
Infecção
A infecção ocorre quando o usuário clica em um aviso falso de instalação do Flash Player, hospedado em sites específicos e legítimos que foram anteriormente comprometidos por cibercriminosos. Uma vez dentro da rede, se espalha coletando credenciais, além de criptografar todo disco.
Além disso, o malware se espalha por redes empresariais ao escanear outras máquinas e ainda consegue mais acessos na rede por meio de softwares nele embutidos.
Figura: Cadeia de infecção (Fonte: Trend Micro)
Tecnicamente falando
O ransomware faz uso do exploit Eternal Romance, mas o foco de movimentação lateral é via brute force com uso de senhas padrões para tentar acesso nos computadores em LAN. Uma vez com acesso, é utilizado uma versão limitada do mimikatz, para conseguir mais
privilégios.
A distribuição do malware é feita por uma técnica conhecida como drive-by-download. Um site legítimo é comprometido e passa a distribuir o código de infecção. Neste caso, quando alguém visita um site infectado, aparece uma oferta de update do Flash Player. Quando o mesmo é solicitado pelo usuário, um java Script faz o envio de informações ao servidor 185.149.120.3. Após isso é feito o download do malware pelo endereço 1dnscontrol[.]com. Este link está atualmente desativado.
O dropper precisa ser explicitamente executado pelo usuário, portando é importante que haja controle de acesso sobre o que os usuários podem executar e que a feature de UAC (User Access Control) esteja ativa.
Outros comportamentos são observados, como a criação de tarefas agendadas: uma para utilizar um binário legítimo do DiskCrypt e outra para reinicializar a máquina.
O Ransomware modifica a MBR, redirecionando o boot para o código do próprio malware.
Recuperação dos dados?
Segundo levantamento da Check Point, o ransomware pede um resgate de 0,05 BTC (cerca de US$ 280 ou R$ 920) nas primeiras 40 horas de infecção. Os pagamentos são realizados para uma carteira de Bitcoin única para cada dispositivo.
Recomendações
Proteger-se de ataques ransomware não é uma tarefa difícil:
Para ataques similares ao BadRabbit, sugere-se que as empresas limitem e tenham maior controle sobre as ações dos usuários na máquina. Conhecido como “controle de acesso”, com ele é possível impedir que um usuário desavisado instale um software não autorizado (incluindo ransomwares).