Confirmada la relación del ransomware Bad Rabbit con ExPetr
Estos días vuelve a tomar protagonismo un nuevo ransomware, el tipo de ciberamenaza que más ha dado que hablar este año. Ayer ya publicamos un artículo de opinión sobre BadRabbit, y hoy se han dado a conocer más detalles.
Los analistas de Kaspersky Lab han descubierto que el ataque ransomware Bad Rabbit tiene una clara conexión con el ataque de ExPetr que tuvo lugar el pasado mes de junio de este año. Según su análisis, el algoritmo hash utilizado en el ataque es similar al utilizado por ExPetr. Además, los expertos han detectado que ambos ataques utilizan los mismos dominios; y las similitudes en los respectivos códigos fuente indican que el nuevo ataque está ligado a los creadores de ExPetr.
Al igual que exPetr, Bad Rabbit intenta hacerse con credenciales de la memoria del sistema y difundirse dentro de la red corporativa por WMIC. Sin embargo, los analistas no han encontrado los exploits EternalBlue o EternalRomance en el ataque del Bad Rabbit; ambos utilizados en ExPetr. La investigación muestra que los ciberatacantes que están tras esta operación se han estado preparando al menos desde julio de 2017, creando su red de infección en sitios hackeados, principalmente medios de comunicación y recursos de información de noticias.
Según la investigación de Kaspersky Lab, Bad Rabbit ha afectado casi a 200 objetivos, ubicados en Rusia, Ucrania, Turquía y Alemania. Todos los ataques tuvieron lugar el 24 de octubre, y no se han detectado nuevos ataques desde entonces. Los analistas han percibido que una vez que la infección se hizo más generalizada y las compañías de seguridad empezaron a investigar, los ciberdelincuentes eliminaron inmediatamente el código malicioso que habían agregado a los sitios web hackeados.
Por otro lado, desde F5 Networks, su director general Álex López afirma lo siguiente: "Los antivirus comunes no son capaces de detectar y bloquear el virus Bad Rabbit, lo que significa que los usuarios podrían estar infectados sin saberlo. Un primer análisis indica que el script del malware identifica a los usuarios objetivo y les envía un aviso falso de actualización del programa Adobe Flash. Cuando el usuario lo acepta, se descarga el malware y se produce el ataque de cifrado. Si no disponen de controles estrictos y soluciones de seguridad adecuadas, la seguridad de las empresas queda en manos de sus usuarios".
López concluye: "Al igual que con muchos otros aspectos, en el área de la seguridad es mejor prevenir que curar. Desafortunadamente, el ransomware es difícil de evitar totalmente y no hay una bala de plata para protegerse contra este tipo de ataques. Los mejores métodos de protección en la actualidad incluyen las copias de seguridad alojadas fuera de la red corporativa y el mantenimiento de un plan de respuesta actualizado. Además, las organizaciones necesitan sistemas SSL capaces de inspeccionar los dispositivos. También es importante filtrar y controlar los correos electrónicos para detectar ataques de phishing, limpiar el tráfico cifrado que puede estar ocultando software malicioso, así como reducir y restringir los privilegios de administración para contener el daño de una cuenta comprometida. Más que nunca, las organizaciones deben saber que la concienciación y educación de sus empleados en temas de ciberseguridad resulta crucial para minimizar el impacto de este tipo de ataques".
También nos hacemos eco del comentario de Alexis de Pablos, director técnico de Veeam Software para Iberia:
“Ayer vimos una nueva cepa de ransomware que está atacando sistemas en Ucrania y Rusia, llamada Bad Rabbit, con similitudes con el brote NotPetya que causó daños de miles de millones de euros en junio. Era solo cuestión de tiempo el que resurgiera una nueva cepa de ransomware". Bad Rabbit parece estar dirigido a redes corporativas, pero solo el tiempo dirá hasta dónde se extenderá este ataque. Continuamos viendo que este lucrativo negocio del ransomware causa estragos, ya que existe un riesgo latente motivado por: mantenimiento deficiente de actualizaciones, medidas de seguridad débiles, errores de juicio de empleados y usuarios y criptomonedas.
"Las empresas no están hechas a prueba de hackers”: es una situación imposible de lograr debido a que las amenazas están en constante evolución. Lo que sí se puede hacer es: mantener al día las actualizaciones, adoptar procesos para reforzar las políticas de seguridad de TI; además mantener los backups fuera de la red habitual de TI debería ser una parte clave de la estrategia de gestión de datos. Hemos visto a empresas superar los ataques de ransomware, al poder hacer un backup de una copia fiable de los datos ubicados fuera de la red.
Finalmente, una recomendación para las organizaciones que sufran estos ataques: Deben tener en cuenta que los delincuentes no están obligados a proporcionar claves de descifrado después del pago de un rescate. Veeam insta encarecidamente a las organizaciones a que no paguen rescates si es posible. Al hacerlo, financia directamente el desarrollo de nuevas cepas de ataques”.
Actualización (viernes 27 de octubre) Kaspersky Lab confirma que, a diferencia de ExPetr, Bad Rabbit no es un wiper
Los investigadores de Kaspersky Lab confirman que, a diferencia de ExPetr, Bad Rabbit no es un wiper. El análisis del algoritmo de malware sugiere que los atacantes tienen los medios técnicos para descifrar la información necesaria para la recuperación del disco.
En el caso de ExPetr, era imposible extraer la información de identificación de infección utilizada para la clave de descifrado de datos. Los actores detrás de Bad Rabbit, sin embargo, pueden usar su propia clave privada para descifrar la información y enviarla a la víctima, según el análisis de Kaspersky Lab.
Los investigadores también encontraron que el código de ransomware de Bad Rabbit no contiene el tipo de errores que podrían usarse para descifrar los archivos y datos de las víctimas. No hay forma de descifrar información sin la clave privada del atacante. Dicho esto, los expertos han encontrado un error en el código dispci. exe, lo que significa que el malware no borra la contraseña generada de la memoria, por lo que existe una pequeña posibilidad de extraerla.
Kaspersky Lab confirmó ayer que el ataque de ransomware de Bad Rabbit está ligado a los creadores del ataque ExPetr que tuvo lugar en junio de este año. Ambos ataques usan los mismos dominios; y hay similitudes en los códigos fuente. Según su análisis, el algoritmo de hash utilizado en el ataque Bad Rabbit es similar al usado por ExPetr; y al igual que ExPetr, Bad Rabbit intenta hacerse con las credenciales de la memoria del sistema y difundirlas dentro de la red corporativa por WMIC. Sin embargo, los investigadores no han encontrado el exploit EternalBlue en el ataque de Bad Rabbit que se utilizó en ExPetr.
Los expertos de Kaspersky Lab han informado que el ransomware se propaga a través de un ataque de descarga. Las víctimas descargan un falso instalador de Adobe Flash desde sitios web infectados e inician manualmente el archivo. exe, infectándose a sí mismas. Los investigadores detectaron una serie de sitios web comprometidos, todos medios de comunicación.
Bad Rabbit alcanzó casi 200 objetivos, localizados en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China. Todos los ataques tuvieron lugar el 24 de octubre y no se han detectado nuevos ataques desde entonces. El servidor principal 1dnscontrol[.]com, desde el que se distribuyó Bad Rabbit, ha estado inactivo desde la noche del 24 de octubre (hora de Moscú).
