Ciudad de México, a 25 de octubre de 2017. Sophos, firma especializada en ciberseguridad, informó que organizaciones en Rusia y Ucrania fueron atacadas por Bad Rabbit, una variedad de ransomware con similitudes a NotPetya.
El brote se extendió a Europa, incluyendo a Turquía y Alemania. Las victimas que han sido reportadas hasta el momento incluyen aeropuertos, estaciones de tren y agencias de noticias.
La agencia de noticias Interfax de Rusia confirmó, a través de twitter, que el ataque había derribado a algunos de sus servidores, lo que los obligó a ocupar su cuenta de Facebook para dar las noticias
Inicio del ataque
El ataque de Bad Rabbit parece haber comenzado a través de archivos en sitios web de medios rusos atacados, usando un falso instalador de Adobe Flash.
“Aunque parece que el brote de BAD Rabbit comenzó en Rusia, el malware que se propaga a través de las redes rara vez respeta las fronteras internacionales. La recomendación es que, incluso si aún no ha oído hablar de del malware, tome precauciones, protéjase de los ladrones y asegúrese de no ser el primero en su ciudad en ser atacado”, dijo Paul Ducklin, tecnólogo senior de Sophos.
Si Bad Rabbit infecta su computadora, intenta programarse a través de la red utilizando una lista de nombres de usuario y contraseñas incrustados dentro del malware. En la imagen podrá ver una lista de nombres de usuarios y contraseñas que utiliza Bad Rabbit. (Un recordatorio, es que todas sus contraseñas deberán ser fuertes o seguras, incluso las que usa detrás de la seguridad de un firewall corporativo).
A partir de ahí, el ransomware encripta sus archivos, agregando “encryted” al final de cada nombre de archivo y también el MBR (Master Boot Record) de su computadora. Envía un mensaje con un saludo y solicita que envíe el pago a través de un servicio oculto Tor (un sitio de la Dark Web anónimo):
Oops! Tus archivos han sido encriptados
Si ve este texto, sus archivos ya no son accesibles.
Es posible que haya estado buscando una forma de recuperar sus archivos.
No pierdas tu tiempo. Nadie podrá recuperarlos sin nuestro servicio de descifrado.
Le garantizamos que puede recuperar todos sus archivos de forma segura.
Todo lo que necesita hacer es enviar el pago y obtener el contraseña de descifrado
Visite nuestro servicio web…
Si visita el sitio web de Bad Rabbit utilizando el navegador Tor, se le “invitará” a pagar una tarifa por la clave de descifrado; en el momento de escribir [2017-10-25T16:45Z] Los ladrones exigían XBT 0.05 (1/20th of a Bitcoin), actualmente cerca de $280.
Medidas de defensa
Actualmente Sophos bloquea el ataque de BAD Rabbit como Troj/Ransom-ERK
Adicionalmente, Sophos Intercept X previene de manera proactiva que el malware ataque sus datos: CryptoGuard evita que el ransomware revuelva sus archivos, y WipeGuard impide las grabaciones de bajo nivel del disco que modifican el sector de arranque.
Aquí hay algunos consejos generales para defenderse contra este tipo de ataque:
- Ditch Flash. Los instaladores y actualizaciones de flash falso solo funcionan como una táctica de ingeniería social. Al eliminar Flash por completo, no solo se protege de los “cero días” de Flash, sino también elimina la tentación de descargar actualizaciones falsas.
- Parche de inmediato. Los ataques como NotPetya y WannaCry explotaron una vulnerabilidad para la cual los parches ya estaban disponibles. No se quede atrás una vez que haya parches disponibles para los agujeros de seguridad conocidos: los delincuentes estarán encantados de aprovecharlos.
- Recuerde sus copias de seguridad. Hágalo de manera frecuente y mantenga una copia de seguridad reciente tanto en la web como fuera de ella, para que pueda acceder a ella incluso si su lugar de trabajo termina fuera de límites debido a un incendio, inundación u otra causa no relacionada con el malware.
- No convierta a los usuarios en administradores. Cuando desee realizar tareas administrativas, asóciese a una cuenta de administrador y renuncie a esos privilegios tan pronto como pueda. Malware con reconocimiento de red como Bad Rabbit se puede propagar sin necesidad de adivinar contraseñas si ya tiene acceso a nivel de administrador a otras computadoras en la red.