Nuevo ransomware: Bad Rabbit

Y vamos por el tercer ataque...

10/31/17, 10:18 AM

Vaya añito que llevamos con los famosos ataques de ransomware… Augurábamos cuando apareció que no sería ni el primero ni el último y no nos equivocamos. Hemos conocido a WannayCry y por supuesto a Petya o NotPetya,  y días atrás se nos presentó un nuevo malware bautizado como Bad Rabbit.

De este sabemos que fue dirigido contra empresas rusas de medios de comunicación y contra los sistemas ucranianos de transporte, aunque también se detectó en otros países, incluyendo Estados Unidos, Alemania y Japón.

Parece que se trató de un ataque drive-by (aquí podéis saber que es ataque drive-by) no usando exploits como en el caso de Petya. En este caso, las víctimas descargan un instalador falso de Adobe Flash desde una web infectada y ejecutan el archivo .exe ellos mismos. Su repercusión no ha sido tan dramática como en ataques anteriores, pero los expertos ven vínculos claros entre Petya y Bad Rabbit, ya que este usó para el ataque métodos similares a los empleados en el caso anterior.

Este ransomware infecta el dispositivo , escanea la red buscando carpetas  compartidas  con nombres comunes  e intenta robar  y explotar las credenciales  de los usuarios para poder acceder a  otras computadoras. Se desconoce quién está detrás pero parece que los atacantes son fanáticos de “Game of Thrones” ya que el código ransomware contiene referencias a personajes de la popular serie como Grey Worm y los dragones de Daenerys. Aunque por el momento, se desconoce si es posible recuperar los archivos encriptados mediante el pago del rescate exigido (0.05 bitcoins, que serían unos 280 dólares al cambio) o aprovechándose de algún “glitch” en el código del ransomware.

Juego_tronos

Como en otras ocasiones, este virus nos sirve para recordar que nunca debemos descargar aplicaciones o software desde publicaciones emergentes o sitios web que no pertenecen a la compañía de software.

Seguimos viendo que este lucrativo negocio del ransomware causa estragos ya que siguen existiendo riesgos debido a mantenimientos deficientes en las actualizaciones, medidas de seguridad débiles o erróres de juicio de empleados y usuarios. Las amenazas están en constante evolución. De nuestra mano está mantener al día las actualizaciones y adoptar procesos para reforzar las políticas de seguridad así como mantener los backups fuera de la red habitual de TI para disponer, si sufrimos un ataque, de una copia fiable de los datos ubicados fuera de la red. No sobra recordar que debemos evitar el pago de esos rescates si es posible. Pagándolos, estamos abonando para el desarrollo de nuevos ataques.

¿Abrimos apuestas sobre próximos ataques? Los malos no descansan… wink

Post By Rachel