Um novo ataque de ransomware com características semelhantes aos ataques NotPetya e WannaCry atingiu a infra-estrutura pública na Ucrânia e afetou outros países em toda a Europa.

Um novo ataque de ransomware conhecido como “Coelho ruim” começou a se espalhar em 24 de outubro, com a Ucrânia e a Rússia suportando o impacto inicial. Tanto a ESET como a empresa de segurança Kaspersky Lab observaram que também há relatórios limitados de sistemas de impacto de Bad Rabbit na Turquia, na Bulgária e na Alemanha.

Entre as primeiras vítimas dos ataques, a agência de notícias russa Interfax revelou que vários dos seus servidores estavam fora de linha por Bad Rabbit. A versão ucraniana do CERT (CERT-UA) emitiu um aviso prévio do potencial de ataques generalizados de resgate. Entre a infra-estrutura atacada na Ucrânia pelo BadRabbit é o metrô de Kiev, bem como o aeroporto de Odessa.

De acordo com a empresa de segurança ESET, o malware usado para atacar o Metro de Kiev era uma nova variante da família de privacidade Petya. Outra variante Petya conhecida como NotPetya, foi responsável por um ciberataque global em junho de 2017 que também começou inicialmente com ataques contra a Ucrânia.

Um olhar áspero sobre a amostra

Esta é uma análise contínua e as informações apresentadas aqui serão atualizadas várias vezes até que a amostra seja totalmente documentada, por isso, verifique novamente este artigo ou siga nosso canal no Twitter .

O processo de infecção começa com um falso instalador Adobe Flash que é baixado de sites comprometidos. Este falso instalador do Flash mantém a carga real do ransomware em uma sobreposição compactada com ZLIB. Uma vez descriptografado, ele cai e executa o ransomware real (identificado como b14d8faf7f0cbcfad051cefe5f39645f).

A carga útil do ransomware acima mencionada contém pelo menos seis ferramentas diferentes como recursos compactados com ZLIB que são usados ​​para fins de criptografia, bem como para se espalhar lateralmente. Essas ferramentas são:

O componente criptografado (identificado como 5b929abed1ab5406d1e55fea1b344dab )
O gerenciador de inicialização (identificado como b14d8faf7f0cbcfad051cefe5f39645f )

Mimikatz – um utilitário para extrair senhas e tickets de autenticação da memória

• Um binário Mimikatz compilado para x86 (identificado como 37945c44a897aa42a66adcab68f560e0)
• Um binário Mimikatz compilado para x64 (identificado como 347ac3b6b791054de3e5720a7144a977)

DiskCryptor – uma solução de criptografia de partição de código aberto

• Um driver DiskCryptor compilado para x86 (identificado como b4e6d97dafd9224ed9a547d52c26ce02)
• Um driver DiskCryptor compilado para x64 (identificado como edb72f4a46c39452d1a5414f7d26454a)

O que sabemos até agora

Bad Rabbit é extremamente similar com GoldenEye / NotPetya, tanto estruturalmente como com foco mais amplo. Destina-se à infra-estrutura crítica da Ucrânia e é altamente viral devido à sua implementação da Mimikatz, que permite que ela mude de uma estação de trabalho infectada para outra em toda a organização. Ele também possui criptografia de disco através do driver DiskCryptor para que ele possa interferir com o processo de inicialização normal e impedir que o computador seja iniciado.

Personagens de Game of Thrones referenciados na amostra. 

Por último, mas não menos importante, enquanto o componente ransomware faz referência aos personagens do Game of Thrones, também possui uma rotina de hash de processo extremamente similar ao que o GoldenEye usou para verificar quais soluções de segurança foram instaladas localmente antes de criptografar o MBR.

Se você estiver executando um produto antimalware Bitdefender para casa ou empresa, não precisa se preocupar, pois nossas soluções detectam essa ameaça como  Gen: Heur.Ransom.BadRabbit.1 e  Gen: Variant.Ransom.BadRabbit.1 . Os clientes que executam o Bitdefeder Elite são protegidos por algoritmos de aprendizado de máquina mais agressivos que marcaram essa ameaça como Gen: Illusion.ML.Skyline.10101desde o dia zero.

Fonte: eweek.com // bitdefender.com