Uma nova campanha de ransomware denominada "Bad Rabbit" atingiu uma série de alvos de alto perfil na Rússia e Leste Europeu. Detectada pela primeira vez em 24 de outubro deste ano, Bad Rabbit foi originalmente detectado na Rússia e na Ucrânia, juntamente com um pequeno número de infecções relatadas em partes da Europa Oriental, Turquia e Alemanha. No entanto, o ataque agora parece estar se espalhando para outras regiões, incluindo relatórios da Coréia do Sul e dos EUA.
Foi confirmado que este ataque infectou várias agências de mídia na Rússia, incluindo o cancelamento da agência de notícias russa Interfax. Além disso, várias organizações de transporte público, incluindo o Aeroporto Internacional de Odessa e o Metro de Kiev, na Ucrânia, também foram afetados. Atualmente, não há indicação clara sobre quem é responsável por este ataque.
O vetor de ameaça inicial é através de usuários que instalam cópias maliciosas do Flash Player obtidas através de sites infectados ou ataques. Os usuários são enganados na abertura de um arquivo .exe e depois no lançamento do aplicativo ransomware. O malware, em seguida, tenta roubar credenciais de usuário em cache do Windows (nome de usuário e senhas) e criptografar arquivos de usuário. Ao contrário de outros recursos de rede conhecidos, este malware não muda ou muda o nome do arquivo dos arquivos que criptografa.
A carga útil pode ser uma variante do Petya e, uma vez executado, começa a criptografar arquivos de dados no computador e compartilhamentos de rede antes de exibir a nota de resgate. O ransomware exige o pagamento de 0,05 Bitcoins, ou cerca de US $ 275, para desbloquear os arquivos criptografados.
Figura 1. Nota de resgate do Bad Rabbit
Este malware também pode soltar qualquer ou todos os seguintes arquivos:
Este malware também foi observado para emitir os seguintes comandos WebDav:
Durante os testes nas nossas instalações do FortiGuard Labs, também observamos essa tentativa de malware para enumerar vários IPs dentro da mesma sub-rede. Um possível motivo para esse comportamento é que o malware pode estar procurando por um IP interno que seja um servidor web válido. Além disso, a carga útil também tentou se mover lateralmente pela rede para encontrar e infectar outros dispositivos vulneráveis.
Este ataque atraiu muita atenção da mídia, principalmente devido a algumas semelhanças com os ataques generalizados de WannaCry e Petya na primavera passada (como o uso do SMB [Server Message Block].) Ao contrário dessas infecções de malware, no entanto, Bad Rabbit não visa a vulnerabilidade Eternal Blue ou DoublePulsar.
Atualmente, a Fortinet tem detectado a disseminação mínima desse malware. Isso pode mudar à medida que o malware se espalha para a Europa e a América do Norte, onde temos uma densidade maior de honeypots e nós de sensores de pesquisa. Vamos mantê-lo informado com atualizações, juntamente com uma análise detalhada deste ataque à medida que novas informações surgirem.
Solução:
O mecanismo AV / Malware da Fortinet está detectando todas as versões do malware conhecido através da assinatura W32 / Diskcoder.D. Tr.ransom. Além disso, o Fortinet Web Filtering e os mecanismos de DNS bloqueiam os servidores C & C (comando e controle) conhecidos.
IOCs:
% Windows% \ cscc.dat Dropper
% Windows% \ dispci.exe Dropper
% Windows% \ infub.da Dropper
% Desktop% \ DECRYPT.lnk Atalho para dispci.exe
1dnsconrol [.]. Com Possível servidor C & C
Veja na íntegra a assinatura de antivírus W32/Diskcoder.D!tr.ransom