Una nueva cepa ransomware llamado Bad Rabbit está causando estragos en muchos países de Europa del Este, afecta tanto a las agencias gubernamentales y empresas privadas por igual
Víctimas confirmadas incluyen el aeropuerto de Odessa en Ucrania, el sistema de metro de Kiev en Ucrania, y tres agencias de noticias de Rusia, con Interfax y Fontanka.El equipo CERT de Ucrania ha publicado una alerta y está advirtiendo empresas ucranianas sobre este nuevo brote.
La velocidad con la que se extiende Bad Rabbit es similar a los brotes y WannaCry NotPetya que han afectado en mayo y junio del 2017.
Ransomware se entrega a través de actualización de Flash falsa, se propaga de forma local a través de SMB
ESET y Proofpoint investigadores dicen que Bad Rabbit se ha extendido inicialmente a través de los paquetes de actualización de Flash falsos, pero el ransomware también parece venir con herramientas que le ayudan a moverse lateralmente dentro de una red, lo que puede explicar por qué se extendió tan rápidamente a través de varias organizaciones en tan poco tiempo.Basado en el análisis por ESET, Emsisoft y Fox-IT, Bad Rabbit utiliza Mimikatz y una lista de credenciales no modificables para acceder a servidores y estaciones de trabajo en la misma red a través de SMB y WebDAV.
Bad Rabbit ransomware es un llamado codificador de disco, similar a Petia y NotPetya. Bad Rabbit primera cifra los archivos en el ordenador del usuario y luego reemplaza el MBR (Master Boot Record).
Una vez que Bad Rabbito ha hecho su trabajo, se reinicia el PC del usuario, que se queda atascado en la costumbre MBR nota de rescate. La nota de rescate es casi idéntica a la utilizada por NotPetya, en el brote de junio.
Sobre la base de la nota de rescate, el ransomware pide a las víctimas a acceder a un sitio en la red Tor y hacer un pago de 0,05 Bitcoin (alrededor de $ 280). Las víctimas tienen poco más de 40 horas para pagar la cuota de rescate hasta que sube.
El ransomware parece estar basado en DiskCryptor, una herramienta de cifrado de disco de código abierto, de manera similar a la HDDCryptor ransomware que afectó Muni de San Francisco servicio de transporte a principios del 2017.
El código fuente de Bad Rabbit también contiene varios Juego de Tronos referencias a personajes como Grayworm. Además, el ransomware también establece tres tareas programadas nombrados Drogon, Rhaegal y Viserion, el nombre de los tres dragones de Juego de Tronos. Esta no es la primera ransomware que viene con Juego de Tronos referencias. Uno de los scripts utilizados en la campaña de distribución de Locky también contenían referencias similares.
ARCHIVOS QUE CIFRA EL RANSOMWARE BAD RABBIT
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
Fecha actualización el 2021-06-17. Fecha publicación el 2017-10-24. Categoría: Ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
