A la caza de Bad Rabbit

Seguridad y privacidad

El pasado 24 de octubre, los medios de comunicación informaron del estallido de un ransomware que afectó a varias organizaciones en Europa del este, principalmente en Rusia y Ucrania. Apodado ‘Bad Rabbit’, los primeros informes hablaban de un ransomware comparable con los ataques de WannaCry y NotPetya (EternalPetya) sufridos a principios de año.

Aunque en F-Secure no se ha recibido aún nigún informe de infección por parte de nuestros clientes, hemos realizado una investigación de manera activa. Así, mientras la investigación continúa, los primeros resultados por parte de nuestro análisis sí que encontraron similitudes entre Bad Rabbit y NotPetya, el ransomware que atacó varias empresas en junio.

En F-Secure pensamos que existen fuertes evidencias que sugieren que la misma persona o grupo está detrás de los ataques de NotPetya en junio y ahora con Bad Rabbit. Los creadores de malware a menudo aprenden lo que funciona, por lo que es bastante común encontrar las mismas características en diferentes familias de malware. Pero las similitudes que hemos visto aquí van más allá de un atacante copiando a otro.

Sin entrar en tecnicismos, a continuación le ofrecemos una lista de las semejanzas entre NotPetya y Bad Rabbit:

  • La estructura del código es similar
  • El cifrado de archivos es MUY similar
  • Método similar para comprobar procesos existentes y archivos cifrados
  • El método usado para reiniciar los ordenadores es también parecido
  • Usa el mismo truco para ejecutar el componente principal del malware como una DLL
  • Idéntico código usado para parsear la línea de comandos
  • Similar método de propagación, incluida una ‘librería’ idéntica de otros ordenadores encontrados en la red, así como el uso de Mimikatz para recolectar credenciales
  • De 113 extensiones de archivo usadas por Bad Rabbit, 65 son iguales en NotPetya (Bad Rabbit tiene otras 48 adicionales)

También hay notables diferencias entre los dos:

  • Bad Rabbit no utiliza el exploit EternalBlue/
  • Bad Rabbit no usa PsExec para expandirse
  • Bad Rabbit también cifra archivos del directorio de documentos del usuario como .jpgs
  • Bad Rabbit añade ‘.encrypted’ a los contenidos de archivos afectados (NotPetya no hacía esto, lo que complicaba distinguir entre archivos cifrados y no cifrados)
  • El vector de infección de Bad Rabbit es vía páginas web comprometidas, mientras que NotPetya lo hacía vía MeDoc
  • Bad Rabbit realiza ataques de fuerza bruta a recursos SMB compartidos utilizando un set de credenciales predefinidas
  • La lista de firmas de procesos a comparar es diferente de NotPetya. NotPetya compara con procesos de Symantec y Kaspersky, mientras de Bad Rabbit lo hace contra McAfee y DrWeb

Al igual que NotPetya, Bad Rabbit ejecuta dos notas al azar, una para el cifrado MBR.

RABBIT1

Y otro para el cifrado de archivos.

Los usuarios son redirigidos para pagar el ransom en una página específica, la cual también proporciona la cantidad a pagar.

rabbit2

Una descripción de la amenaza del ransomware Bad Rabbit está disponible en el siguiente enlace Trojan:W32/Rabbad que será actualizado según se confirmen más datos al respecto.

Mientras tanto… nuestros productos de protección endpoint tienen una gran variedad de medidas incorporadas para la prevención de infecciones por Bad Rabbit.

 

1 comentarios

[…] Bad Rabbit ha atraído todas las miradas dentro del panorama del ransomware. Mientras la comunidad de la ciberseguridad se ha concentrado principalmente en las semejanzas entre Bad Rabbit y EternalPetya, existe una notable diferencia que ha pasado desapercibida: el cifrado de disco de Bad Rabbit funciona. […]

Me gusta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

También le puede gustar