Etiqueta: bad rabbit

Bad Rabbit, el ransomware que ya se volvió un problema global

Compañías especializadas en ciberseguridad, como Kaspersky Labs, ESET o Proofpoint, han identificado el ransomware Bad Rabbit, que se propaga a través de una actualización falsa de Adobe Flash.

Este ataque se comporta de la misma forma que lo hicieron Petya o WannaCry. Se despliega una pantalla en forma de mensaje que advierte al usuario de que su computadora ha sido infectada, solicitándole un monto que inicia en 285 dólares, representados en bitcoins, para que el equipo cifrado pueda ser recuperado. El usuario tendrá en la pantalla una cuenta regresiva, haciéndole saber que, una vez transcurrido ese período, el precio del rescate se incrementará.

Interfax, un medio de comunicación de origen ruso, fue el primero en anunciar el descubrimiento de esta nueva amenaza ransomware, al ser ellos uno de sus primeras víctimas y comunicar que sus servidores estaban offline debido a un ciberataque.

La agencia de noticias utilizaba Facebook para emitir el comunicado mientras trataba de recuperarse del golpe. A su vez, otra firma de seguridad rusa, conocida como Group-IB, publicaba una captura de pantalla del nuevo ransomware al que ya se le conoce como Bad Rabbit.

Desde su descubrimiento, más de 200 organizaciones han sido afectadas entre las que se encuentran el aeropuerto Odessa de Ucrania, el ministerio de infraestructuras de Ucrania, o el metro de Kiev.

Todo lo que sabemos hasta ahora de BadRabbit

La nueva modalidad de ransomware se está extendiendo por todo el mundo, siendo Europa el continente más afectado hasta ahora más de 200 grandes organizaciones en la región, principalmente con sede en Rusia, Ucrania, Turquía y Alemania.

Big Rabbit afecta principalmente a las redes corporativas y exige como rescate la cifra de 285 dólares en moneda bitcoin para proceder con el desbloqueo de los sistemas afectados.

ESET destacó que el malware Bad Rabbit podría ser una variante de Petya, también conocida como Petrwrap, NotPetya, exPetr y GoldenEye, debido a que aparece como Win32 / Diskcoder.D.

Se vale de DiskCryptor, un software de código abierto para el cifrado de unidades completas, para cifrar los archivos mediante claves RSA 2048. Se cree que la nueva oleada de ataques de ransomware no está utilizando el exploit EternalBlue, la vulnerabilidad SMB filtrada que fue utilizada por los ransomware WannaCry y Petya para propagarse a través de las redes.

Bad Rabbit escanea la red interna de la organización en busca de recursos compartidos SMB abiertos.

Posteriormente prueba una lista codificada de credenciales utilizadas comúnmente para descartar el malware y utiliza una herramienta adicional para extraer las credenciales de los sistemas afectados.

Los investigadores todavía están analizando Bad Rabbit para comprobar si hay una forma de descifrar los equipos sin pagar el rescate exigido.

SophosLab alerta de que las versiones de antivirus detectarán esta variación como Troj / Ransom-ERK. Sophos Sandstorm ha detectado de forma proactiva esta amenaza a través de su programa de detección de machine learning, así como de Sophos Intercept X que ha bloqueado esta amenaza haciendo uso de la tecnología de Sophos CryptoGuard. Las soluciones de protección web de Sophos afirman también bloquean las páginas web que puedan albergarlo.

 

IDG.es