Novo surto de Ransomware – Bad Rabbit
Proteja sua empresa com as Tecnologias da Bitdefender
11 de setembro de 2017
A importância do Backup Gerenciado
27 de julho de 2018
A nova família de ransomware é denominada Bad Rabbit e parece atingir infra-estrutura crítica e entidades de alto perfil.
Uma nova variedade de ransomware que surgiu hoje atingiu uma série de instituições de alto perfil na Rússia e na Ucrânia, como o sistema de metro de Kiev, o aeroporto de Odessa, bem como a agência de notícias russa Interfax.
Nossa análise preliminar revela que esta nova tensão de ransomware vem incluída com várias ferramentas de código aberto que são alavancadas para criptografia de dados e movimentos laterais, conforme descrito abaixo.
Um olhar áspero sobre a amostra
Esta é uma análise contínua e as informações apresentadas aqui serão atualizadas várias vezes até que a amostra seja totalmente documentada, por isso, verifique novamente este artigo ou siga nosso canal no Twitter .
O processo de infecção começa com um falso instalador Adobe Flash que é baixado de sites comprometidos. Este falso instalador do Flash mantém a carga real do ransomware em uma sobreposição compactada com ZLIB. Uma vez descriptografado, ele cai e executa o ransomware real (identificado como b14d8faf7f0cbcfad051cefe5f39645f).
A carga útil do ransomware acima mencionada contém pelo menos seis ferramentas diferentes como recursos compactados com ZLIB que são usados para fins de criptografia, bem como para se espalhar lateralmente. Essas ferramentas são:
O componente criptografado (identificado como 5b929abed1ab5406d1e55fea1b344dab )
O gerenciador de inicialização (identificado como b14d8faf7f0cbcfad051cefe5f39645f )
Mimikatz – um utilitário para extrair senhas e tickets de autenticação da memória
- Um binário Mimikatz compilado para x86 (identificado como 37945c44a897aa42a66adcab68f560e0)
- Um binário Mimikatz compilado para x64 (identificado como 347ac3b6b791054de3e5720a7144a977)
DiskCryptor – uma solução de criptografia de partição de código aberto
- Um driver DiskCryptor compilado para x86 (identificado como b4e6d97dafd9224ed9a547d52c26ce02)
- Um driver DiskCryptor compilado para x64 (identificado como edb72f4a46c39452d1a5414f7d26454a)
O que sabemos até agora
Bad Rabbit é extremamente similar com GoldenEye / NotPetya, tanto estruturalmente como com foco mais amplo.
Destina-se à infra-estrutura crítica da Ucrânia e é altamente viral devido à sua implementação da Mimikatz, que permite que ela mude de uma estação de trabalho infectada para outra em toda a organização. Ele também possui criptografia de disco através do driver DiskCryptor para que ele possa interferir com o processo de inicialização normal e impedir que o computador seja iniciado.
Personagens de Game of Thrones referenciados na amostra.
Por último, mas não menos importante, enquanto o componente ransomware faz referência aos personagens do Game of Thrones, também possui uma rotina de hash de processo extremamente similar ao que o GoldenEye usou para verificar quais soluções de segurança foram instaladas localmente antes de criptografar o MBR.
Se você estiver executando um produto antimalware Bitdefender para casa ou empresa, não precisa se preocupar, pois nossas soluções detectam essas ameaças.
Como Gen: Heur.Ransom.BadRabbit.1 e Gen: Variant.Ransom.BadRabbit.1 .
Os clientes que executam o Bitdefender Elite são protegidos por algoritmos de aprendizado de máquina mais agressivos.
Fonte: Labs Bitdefender
