Uma nova campanha de ransomware denominada "Bad Rabbit" atingiu uma série de alvos de alto perfil na Rússia e Leste Europeu. Detectada pela primeira vez em 24 de outubro deste ano, Bad Rabbit foi originalmente detectado na Rússia e na Ucrânia, juntamente com um pequeno número de infecções relatadas em partes da Europa Oriental, Turquia e Alemanha. No entanto, o ataque agora parece estar se espalhando para outras regiões, incluindo relatórios da Coréia do Sul e dos EUA.

Foi confirmado que este ataque infectou várias agências de mídia na Rússia, incluindo o cancelamento da agência de notícias russa Interfax. Além disso, várias organizações de transporte público, incluindo o Aeroporto Internacional de Odessa e o Metro de Kiev, na Ucrânia, também foram afetados. Atualmente, não há indicação clara sobre quem é responsável por este ataque.

O vetor de ameaça inicial é através de usuários que instalam cópias maliciosas do Flash Player obtidas através de sites infectados ou ataques. Os usuários são enganados na abertura de um arquivo .exe e depois no lançamento do aplicativo ransomware. O malware, em seguida, tenta roubar credenciais de usuário em cache do Windows (nome de usuário e senhas) e criptografar arquivos de usuário. Ao contrário de outros recursos de rede conhecidos, este malware não muda ou muda o nome do arquivo dos arquivos que criptografa.

A carga útil pode ser uma variante do Petya e, uma vez executado, começa a criptografar arquivos de dados no computador e compartilhamentos de rede antes de exibir a nota de resgate. O ransomware exige o pagamento de 0,05 Bitcoins, ou cerca de US $ 275, para desbloquear os arquivos criptografados.

Figura 1. Nota de resgate do Bad Rabbit
Este malware também pode soltar qualquer ou todos os seguintes arquivos:

• % Windows% \ cscc.dat: Este arquivo é um utilitário de criptografia de disco, originalmente conhecido como dcrypt.sys que foi desenvolvido pela ReactOS.
• % Windows% \ dispci.exe: Este arquivo é detectado como W32 / Diskcoder.D. Tr.ransom.
• % Windows% \ infub.dat: Este arquivo é detectado como W32 / Diskcoder.D. Tr.ransom.
• % Desktop% \ DECRYPT.lnk: Este é um arquivo de atalho para dispci.exe.
• % RootDir% \ Readme.txt: Este arquivo de texto contém a nota de resgate.

Este malware também foi observado para emitir os seguintes comandos WebDav:

• OPÇÕES / admin $
• PROPFIND / admin $

Durante os testes nas nossas instalações do FortiGuard Labs, também observamos essa tentativa de malware para enumerar vários IPs dentro da mesma sub-rede. Um possível motivo para esse comportamento é que o malware pode estar procurando por um IP interno que seja um servidor web válido. Além disso, a carga útil também tentou se mover lateralmente pela rede para encontrar e infectar outros dispositivos vulneráveis.

Este ataque atraiu muita atenção da mídia, principalmente devido a algumas semelhanças com os ataques generalizados de WannaCry e Petya na primavera passada (como o uso do SMB [Server Message Block].) Ao contrário dessas infecções de malware, no entanto, Bad Rabbit não visa a vulnerabilidade Eternal Blue ou DoublePulsar.

Atualmente, a Fortinet tem detectado a disseminação mínima desse malware. Isso pode mudar à medida que o malware se espalha para a Europa e a América do Norte, onde temos uma densidade maior de honeypots e nós de sensores de pesquisa. Vamos mantê-lo informado com atualizações, juntamente com uma análise detalhada deste ataque à medida que novas informações surgirem.

Solução:

O mecanismo AV / Malware da Fortinet está detectando todas as versões do malware conhecido através da assinatura W32 / Diskcoder.D. Tr.ransom. Além disso, o Fortinet Web Filtering e os mecanismos de DNS bloqueiam os servidores C & C (comando e controle) conhecidos.

IOCs:

% Windows% \ cscc.dat Dropper

% Windows% \ dispci.exe Dropper

% Windows% \ infub.da Dropper

% Desktop% \ DECRYPT.lnk Atalho para dispci.exe

1dnsconrol [.]. Com Possível servidor C & C

Veja na íntegra a assinatura de antivírus W32/Diskcoder.D!tr.ransom