BAD RABBIT RANSOMWARE UTILIZA EXPLOIT DE LA NSA

Una nueva investigación publicada por Cisco Talos y F-Secure revela que el Bad Rabbit también utilizó una versión modificada de un exploit de la NSA para reforzar el proceso de difusión.

Esta es la tercera vez este 2017, cuando una epidemia mundial ransomware ha utilizado ciber-armas desarrolladas por la NSA y filtrado en Internet por un grupo de piratas informáticos que van por el nombre de shadow Brokers. WannaCry fue la primera ola ransomware que utiliza una arma cibernética de la NSA, la implementación del exploit ETERNALBLUE a moverse lateralmente dentro de las redes infectadas en mayo. Un mes más tarde, el NotPetya desplegó las hazañas ETERNALBLUE y ETERNALROMANCE para el mismo propósito.

Cuando Bad Rabbit golpeo, los investigadores esperaban ver lo mismo, pero para su sorpresa, el análisis inicial no encontraron ninguna herramienta NSA en absoluto.

Los primeros informes dijeron que el ransomware utiliza Mimikatz para volcar las contraseñas de la memoria de un ordenador infectado, que se utiliza junto con una lista de credenciales no modificables para tener acceso a recursos compartidos SMB en la misma red.

En una actualización de su informe de Bad Rabbit, Cisco Talos dijo que cuando los investigadores siguieron investigando el código del ransomware, encontraron evidencia de ETERNALROMANCE, un exploit de la NSA que también se propaga a través de SMB.

El exploit no fue descubierto inicialmente, ya que se ha modificado

Esto no fue una aplicación pura, y se hicieron algunas modificaciones al código , por lo tanto, la razón la mayoría de los investigadores y los sistemas de exploración automatizados no detectaron que desde el primer momento.
"Es muy similar a la disposición del público implementación de Python de la EternalRomance exploit que también es explotada por [NotPetya]," dijeron los investigadores Cisco Talos. "Sin embargo, el BadRabbit [EternalRomance] exploit aplicación es diferente que el de [NotPetya], aunque está todavía en gran parte basada en la EternalRomance exploit publicado en los ShadowBrokers fugas".
Hallazgos de Cisco también fueron confirmados por F-Secure . Además, Cisco proporciona más detalles que fortalecen múltiples informes diciendo que Bad Conejo y NotPetya fueron creados por los mismos autores.
"Evaluamos con alta confianza de que BadRabbit está construido sobre la misma base de código básico como [NotPetya]", dijo el equipo de Cisco hoy "y que la cadena herramienta de construcción para BadRabbit es muy similar a la cadena de herramienta de construcción de [NotPetya]."
Fecha actualización el 2021-06-17. Fecha publicación el 2017-10-26. Categoría: Ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
Bad Rabbit ransomware