Novo surto de Ransomware – Bad Rabbit

A nova família de ransomware é denominada Bad Rabbit e parece atingir infra-estrutura crítica e entidades de alto perfil.

Uma nova variedade de ransomware que surgiu hoje atingiu uma série de instituições de alto perfil na Rússia e na Ucrânia, como o sistema de metro de Kiev, o aeroporto de Odessa, bem como a agência de notícias russa Interfax.

Nossa análise preliminar revela que esta nova tensão de ransomware vem incluída com várias ferramentas de código aberto que são alavancadas para criptografia de dados e movimentos laterais, conforme descrito abaixo.

Um olhar áspero sobre a amostra

Esta é uma análise contínua e as informações apresentadas aqui serão atualizadas várias vezes até que a amostra seja totalmente documentada, por isso, verifique novamente este artigo ou siga nosso canal no Twitter .

O processo de infecção começa com um falso instalador Adobe Flash que é baixado de sites comprometidos. Este falso instalador do Flash mantém a carga real do ransomware em uma sobreposição compactada com ZLIB. Uma vez descriptografado, ele cai e executa o ransomware real (identificado como b14d8faf7f0cbcfad051cefe5f39645f).

A carga útil do ransomware acima mencionada contém pelo menos seis ferramentas diferentes como recursos compactados com ZLIB que são usados ​​para fins de criptografia, bem como para se espalhar lateralmente. Essas ferramentas são:

O componente criptografado (identificado como 5b929abed1ab5406d1e55fea1b344dab )
O gerenciador de inicialização (identificado como b14d8faf7f0cbcfad051cefe5f39645f )
Mimikatz – um utilitário para extrair senhas e tickets de autenticação da memória

• Um binário Mimikatz compilado para x86 (identificado como 37945c44a897aa42a66adcab68f560e0)
• Um binário Mimikatz compilado para x64 (identificado como 347ac3b6b791054de3e5720a7144a977)

DiskCryptor – uma solução de criptografia de partição de código aberto

• Um driver DiskCryptor compilado para x86 (identificado como b4e6d97dafd9224ed9a547d52c26ce02)
• Um driver DiskCryptor compilado para x64 (identificado como edb72f4a46c39452d1a5414f7d26454a)

O que sabemos até agora

Bad Rabbit é extremamente similar com GoldenEye / NotPetya, tanto estruturalmente como com foco mais amplo.
Destina-se à infra-estrutura crítica da Ucrânia e é altamente viral devido à sua implementação da Mimikatz, que permite que ela mude de uma estação de trabalho infectada para outra em toda a organização. Ele também possui criptografia de disco através do driver DiskCryptor para que ele possa interferir com o processo de inicialização normal e impedir que o computador seja iniciado.

Personagens de Game of Thrones referenciados na amostra. 

Por último, mas não menos importante, enquanto o componente ransomware faz referência aos personagens do Game of Thrones, também possui uma rotina de hash de processo extremamente similar ao que o GoldenEye usou para verificar quais soluções de segurança foram instaladas localmente antes de criptografar o MBR.

Se você estiver executando um produto antimalware Bitdefender para casa ou empresa, não precisa se preocupar, pois nossas soluções detectam essas ameaças.
Como  Gen: Heur.Ransom.BadRabbit.1 e  Gen: Variant.Ransom.BadRabbit.1 . 

Os clientes que executam o Bitdefender Elite são protegidos por algoritmos de aprendizado de máquina mais agressivos.

Fonte: Labs Bitdefender