Varias empresas de seguridad han presentado la evidencia que muestra enlaces que conectan el brote ransomware Bad Rabbit con el estallido NotPetya que tuvo lugar a finales de junio deL 2017
Empresas como Bitdefender, Cisco Talos, ESET, Grupo IB, laboratorios Intezer, Kaspersky Lab, y Malwarebytes, junto con el investigador de seguridad Bart Parys, han publicado informes sobre las conexiones entre estas dos cepas."Bad Rabbit parece tener algunas similitudes con NotPetya en la que también se basa en Petia ransomware," expertos de Cisco explican en su informe. "Las principales partes del código parecen haber sido reescrito", añaden los investigadores, lo que refleja conclusiones similares en otros informes.
En junio, ESET ató la campaña ransomware NotPetya a un grupo de ciberespionaje nombrados TeleBots, conocido por atacar a la red eléctrica de Ucrania en diciembre de 2015 y de diciembre de el 2016.
El grupo detrás ha estado activo desde 2007 y se realiza un seguimiento bajo diferentes nombres, tales como Sandworm, BlackEnergy, y más recientemente como TeleBots, mientras que otros nombres menos conocidos incluyen electro, TEMP.Noble y Quedagh.
TeleBots es conocido por los especialistas infosec por apuntar Ucrania, y muchos sospechan el grupo opera en Rusia y está bajo el control de las autoridades rusas porque los hackers reenfocadas operaciones con los objetivos de Ucrania después de Rusia invadió la península de Crimea, un antiguo territorio de Ucrania.
La obsesión de TeleBots con Ucrania se presentó en junio, cuando el ransomware NotPetya infectado a los usuarios sobre todo de Ucrania, entre el 60% y el 70% de todas las infecciones.
El brote de Bad Rabbit, como la mayoría de las víctimas fueron localizados en Rusia ( 70%), pero mientras que Rusia sufrió más infecciones, la mayor parte de los objetivos de alto valor estaban en Ucrania, con infecciones reportadas en aeropuertos, sistemas de metro, y agencias gubernamentales.
El grupo construyó su infraestructura durante meses
Además de los informes que se centraron en el código fuente de Bad Rabbit, también hubo informes que se centraron en la infraestructura detrás de los ataques.De acuerdo con expertos de RiskIQ y Kaspersky Lab, los hackers tomaron meses para introducirse en sitios web y alojar los scripts maliciosos necesarios para empujar a cabo actualizaciones falsas de Flash Player que ayudaron a difundir el ransomware inicialmente, antes lateral módulo de movimiento de la red de Bad conejo.
Sólo un grupo de estado-nación respaldados como TeleBots podía permitirse el lujo de perder tres o cuatro meses en la construcción de la infraestructura para un brote de ransomware.
Por otra parte, de acuerdo con RiskIQ, algunos sitios web se veian comprometidos ya en 2016, sugiriendo que eran parte de una operación totalmente diferente.
Los investigadores buscan Bad Rabbit como Ruse
Algunos expertos están en la teoría de que el brote ransomware era en realidad una cubierta para enmascarar otros ataques más siniestros.Los expertos argumentan que mientras los investigadores se centraron en llegar al fondo de la infección ransomware, TeleBots podrían ser tranquilamente el desvío de datos de objetivos sensibles. Además, TeleBots también podrían haber desplegado el ransomware como una manera de destruir la evidencia de las intrusiones detectadas anteriores.
Fecha actualización el 2021-10-26. Fecha publicación el 2017-10-26. Categoría: Ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer