Muitas organizações, principalmente no leste europeu, tiveram suas redes invadidas por um novo vírus chamado Bad Rabbit.
De acordo com Kaspersky, o nome aparece em um site da darknet vinculado ao vírus com uma nota de pedido de resgate de bitcoin (comum em casos de ransom).
O que sabemos sobre o ransomware Bad Rabbit
O vírus chega por meio de um download do Flash Player
Os responsáveis pelo ataque invadiram inúmeros sites para incluir um código que leva o usuário a um download falso. A Eset (fabricante de antivírus) divulgou uma lista de sites que foram adulterados.
A maioria das páginas é da Ucrânia e da Rússia, mas há também endereços no Japão, República Checa, Romênia e Bulgária.
A vítima deve baixar e executar o arquivo oferecido. Além disso, é possível que nem todos os internautas recebam a janela de download, pois o servidor de controle pode determinar quem receberá o golpe.
Ao clicar no botão “instalar”, o arquivo encontrado como install_flash_player.exe causa bloqueio dos seus dados na máquina.
Em dispositivos que já possuem Flash Player, como o Chrome e o Edge, nenhum aviso sobre atualização de plug-in será verdadeira.
Para garantir que a atualização seja verdadeira, é recomendado que elas sejam feitas sempre a partir do site da Adobe.
A Kapersky afirma:
“Nossos pesquisadores detectaram uma série de sites comprometidos, todos sites de notícias ou de mídia”
Por enquanto, a maioria das vítimas estão na Rússia (aproximadamente 65% dos sistemas infectados). A fabricante ainda afirma que o ataque é direcionado contra redes corporativas.
O ransomware se espalha pela rede
As informações sobre os métodos de propagação ainda são confusas. Há relatos de que o ransomware usa a mesma falha EternalBlue para se espalhar.
Outros afirmam que após contaminar o computador, o vírus é capaz de se espalhar para outros computadores da rede, usando credenciais de acesso. Em seu código, o vírus traz pares de usuários e senhas para tentar acessar outras máquinas, além de roubar a senha de acesso do próprio usuário do computador.
A Kaspersky sugere desativar o WMI do Windows para evitar infecções em rede.
Características do ransomware
Se caracteriza pelo sequestro de informações armazenadas e a exigência de um pagamento para receber um chave capaz de desbloquear os dados.
O valor de resgate solicitado pelo ransomware Bad Rabbit em Bitcoin é de 0.05 BTC, que equivale a aproximadamente R$ 900. Assim como outros vírus, usa um contador regressivo para pressionar a vítima a pagar pelo resgate o quanto antes.
Dúvidas sobre o Bad Rabbit
Os autores dos ataques ainda são desconhecidos.
Não há confirmação de que se o valor do resgate for pago, os arquivos serão recuperados. Para fazer pagamentos, a vítima precisa preferencialmente de um computador funcionando.
O Bad Rabbit, porém, inutiliza o computador, ainda exige que a vítima digite um código na página de recuperação. Ainda não há relatos de que o pagamento da recompensa tenha permitido recuperar os arquivos.
Lista de sites afetados pelo Bad Rabbit
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru
Quer ter mais segurança em seu negócio? Fale com a Agtech!