Bad Rabbit Ransomware: Saiba como Proteger a Sua Empresa

Este ano já houve dois ataques de Ransomware em grande escala – estamos falando sobre o infame WannaCry  e ExPetr (também conhecido como Petya e NotPetya). Um terceiro ataque está em ascensão: o novo malware é chamado Bad Rabbit – pelo menos, esse é o nome indicado pelo site darknet vinculado na nota de resgate.

De acordo com descobertas feitas pela empresa de segurança digital Kaspersky, o ataque não usa explorações. É um ataque drive-by: as vítimas baixam um falso instalador Adobe Flash de sites infectados e iniciam manualmente o arquivo .exe, infectando-se assim. Os pesquisadores da Kaspersky detectaram uma série de sites comprometidos, todas as notícias ou sites de mídia.

Se é possível recuperar arquivos criptografados por Bad Rabbit (seja pagando o resgate ou usando alguma falha no código do ransomware) ainda não é conhecido. Os especialistas em antivírus da Kaspersky Lab estão investigando o ataque e estaremos atualizando esta publicação com suas descobertas.

De acordo com os dados da empresa Kaspersky, a maioria das vítimas desses ataques está localizada na Rússia. Também foram encontrados ataques na Ucrânia, Turquia, Bulgária, e Alemanha. Este ransomware infectou dispositivos através de uma série de sites de mídia russo hackeados.

Algumas organizações financeiras Russas também sofreram esse tipo de ataque, conforme o site da Routers. Com base em nossa investigação, este é um ataque direcionado contra redes corporativas, usando métodos semelhantes aos usados ​​no ataque do ExPetr. No entanto, não podemos confirmar que está relacionado ao ExPetr. Continuamos nossa investigação. Enquanto isso, você pode encontrar mais detalhes técnicos nesta publicação na Securelist.

Veja o que parece uma mensagem de resgate para as vítimas desafortunadas:

Bad Rabbit Ransomware - Mensagem de resgate

 

Abaixo está uma visão da tela de pagamento do Ransomware Bad Rabbit, incluindo seu fascinante texto animado. Esta é a tela de pagamento mais intrincada que já vimos, embora não pareça adicionar nenhuma nova funcionalidade.

Tela de pagamento do Bad Rabbit ramsonware

 

O que é o Bad Rabbit?

Bad Rabbit é uma família de ransomware de origem desconhecida.

Como é distribuído um Ransomware Bad Rabbit?

O ransomware foi distribuído com a ajuda de ataques por drive-by . Enquanto o alvo está visitando um site legítimo, um contabilista de malware está sendo baixado da infra-estrutura do ator da ameaça. Não foram utilizadas explorações, de modo que a vítima deveria executar manualmente o conta-gotas de malware, que pretende ser um instalador Adobe Flash.

A Kaspersky detectou série de sites comprometidos, todos os quais eram sites de notícias ou de mídia.

Quem são os alvos?

A maioria dos alvos estão localizados na Rússia. Outros ataques semelhantes, porém menos, também foram vistos em outros países – Ucrânia, Turquia e Alemanha. No geral, existem quase 200 alvos, de acordo com as estatísticas do KSN.

O Bad Rabbit é diferente do ExPetr? Ou é o mesmo malware?

Nossas observações sugerem que este foi um ataque direcionado contra redes corporativas, usando métodos semelhantes aos usados ​​durante o ataque do ExPetr .

A Kaspersky Lab detecta a ameaça?

A Kaspersky Lab detectou proativamente o ataque vetorial original desde que começou na manhã de 24 de outubro. O ataque durou até o meio dia, embora ainda estejam detectando ataques em andamento.

Os produtos da Kaspersky Lab detectam o ataque com os seguintes veredictos: UDS: DangerousObject.Multi.Generic (detectado pela Kaspersky Security Network), PDM: Trojan.Win32.Generic (detectado pelo System Watcher) e Trojan-Ransom.Win32.Gen.ftl.

Para evitar ser uma vítima do Bad Rabbit:

Os especialistas da Kaspersky Lab estão trabalhando em uma análise detalhada deste ransomware para encontrar possíveis falhas em suas rotinas criptográficas.

Os clientes corporativos da Kaspersky Lab também são aconselhados a:

  • Certifique-se de que todos os mecanismos de proteção sejam ativados conforme recomendado; e que os componentes KSN e System Watcher (que são ativados por padrão) não estão desativados.
  • Atualize os bancos de dados do antivírus imediatamente.

As medidas acima mencionadas devem ser suficientes. No entanto, como precauções adicionais, aconselhamos o seguinte:

  • Bloqueie a execução de arquivos c: \windows\infpub.dat e c: \Windows\cscc.dat , no Kaspersky Endpoint Security.
  • Configurando e habilitando o modo de recusa padrão no componente Controle de inicialização do aplicativo do Kaspersky Endpoint Security para garantir e impor uma defesa pró-ativa contra este e outros ataques.
  • Desative o serviço WMI (se for possível no seu ambiente) para impedir que o malware se espalhe pela sua rede.

Dicas para todos:

  • Faça backup de seus dados.
  • Não pague o resgate.
  • Recomendamos que faça as atualizações do Adobe Flash Player apenas pelo site proprietário da Adobe: https://get.adobe.com/br/flashplayer/

Os produtos da Kaspersky Lab detectam essa ameaça com os seguintes vereditos:

  • Trojan-Ransom.Win32.Gen.ftl
  • DangerousObject.Multi.Generic
  • PDM: Trojan.Win32.Generic

COIs:
http: // 1dnscontrol [.] Com /
fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe
1d724f95c61f1055f0d02c2154bbccd3 – C: \ Windows \ infpub.dat
b14d8faf7f0cbcfad051cefe5f39645f – C: \ Windows \ dispci.exe

 

A S3curity detém a  mais completa e efetiva Solução Anti-Hacker, mantendo sua Empresa protegida dos mais diversos tipos de ataques, protegendo também seus dados na nuvem, trabalhando com as mais avançadas soluções das melhores empresas internacionais de Segurança Digital.

Proteja a sua Empresa! Entre em Contato com a S3curity.

 

Fontes:

https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
http://www.bbc.com/news/technology-41740768
https://securelist.com/bad-rabbit-ransomware/82851/
https://www.reuters.com/article/us-russia-cyber-cenbank/some-russian-financial-organizations-suffered-badrabbit-attack-central-bank-idUSKBN1CU1DQ