Bad Rabbit, o novo malware da família do Ransonware está atingindo grandes potências tecnológicas da Europa. Do que se trata? Devo me preocupar?

Blindagem de sistemas: Por que isso ainda é negligenciado por muitas empresas?
24 de outubro de 2017
Por Miguel Latorre, consultor de Segurança da Informação da EZ-Security

Um novo ataque denominado Bad Rabbit que tem exploração similar e já bem conhecida pelo mercado brasileiro com os malwares Pettya e WannaCry, estão atacando países com grande potencias tecnológicas como Rússia, Ucrânia e outros países do Leste Europeu.

Alguns ataques já divulgados relatam que a rede de transporte da Ucrânia foi atingida e teve seu funcionamento comprometido. A agencia de segurança Russa Group-IB, divulgou que alguns veículos de comunicação e o metrô de Kiev foram atacados e tiveram seu funcionamento comprometido.

Segundo fabricante de segurança Symantec, a ameaça tem sua incursão realizada através de sites mal-intencionados, e a partir deste ponto, explora vulnerabilidades JavaScript em conjunto com o FlashPlayer em dispositivos Endpoints.

A partir deste momento, realiza-se a exploração diretórios mapeados  em busca de realizar a criptografia dos dados e informações contidas, com isto, remetendo ao famoso Cyber Crime conhecido como Sequestro Digital.

Para realizar a criptografia, O Bad Rabbit utiliza a ferramenta DiskCrytor (que por se tratar de uma solução não evasiva, aumenta o desafio de prevenção do malware ainda maior) e a partir da criptografia realizada, é solicitada a quantia de 0,05 bitcoins, que remete cerca de $300 dólares americanos na cotação de 25/10/2017.

Devo me preocupar?

Atualmente há relatos de apenas ataques direcionados, entretanto por se tratar de uma família de malware que já teve grande proporção global, é indicado que as células de segurança das empresas estejam preparadas e compreendam a natureza do ataque.

Como posso agir?

Seguem algumas recomendações momentâneas da EZ-Security:

  • Mantenha sua solução de Anti-Malware de endpoint com a útima definição de vírus instaladas;
  • Considere bloquear o endereço hxxp://1dnscontrol[.]com em seus dispositivos gateway de perímetro, tal como os Firewalls de sua organização
  • Dada a interatividade realizada com o programa DiskCryptor considerar sua prática não programada suspeita. É indicado mantê-lo na blacklist de execução da sua solução de endpoint.
  • Bloquear os seguintes Hash’s de arquivos que são invasivos e utilizados no ataque:
    • Arquivo infpub.dat possui o seguinte hash:
      • MD5: 1d724f95c61f1055f0d02c2154bbccd3
      • SHA2:579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
    • Arquivo malicioso install_flash_player.exe possui o seguinte hash:
      • MD5: fbbdc39af1139aebba4da004475e8839
      • SHA2:630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
    • Componente de bloqueio da tela para resgate utiliza o arquivo dispci.exe
      • MD5: b14d8faf7f0cbcfad051cefe5f39645f
      • SHA2:8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
    • Arquivo TMP file classificado como Hacktool component
      • MD5: 347ac3b6b791054de3e5720a7144a977
      • SHA2:301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
    • Outro arquivo TMP file  classificado como Hacktool component
      • MD5: 37945C44A897AA42A66ADCAB68F560E0
      • SHA2:2F8C54F9FA8E47596A3BEFF0031F85360E56840C77F71C6A573ACE6F46412035
    • Solução de criptografia DiskCryptor (software legitimo) hash:
      • MD5: edb72f4a46c39452d1a5414f7d26454a
      • SHA2:0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *