O novo ransomware: Bad Rabbit

Muitas organizações, principalmente no leste europeu, tiveram suas redes invadidas por um novo vírus chamado Bad Rabbit.

De acordo com Kaspersky, o nome aparece em um site da darknet vinculado ao vírus com uma nota de pedido de resgate de bitcoin (comum em casos de ransom). 

O que sabemos sobre o ransomware Bad Rabbit

 

O vírus chega por meio de um download do Flash Player

Bad Rabbit

Os responsáveis pelo ataque invadiram inúmeros sites para incluir um código que leva o usuário a um download falso. A Eset (fabricante de antivírus) divulgou uma lista de sites que foram adulterados.

A maioria das páginas é da Ucrânia e da Rússia, mas há também endereços no Japão, República Checa, Romênia e Bulgária.

A vítima deve baixar e executar o arquivo oferecido. Além disso, é possível que nem todos os internautas recebam a janela de download, pois o servidor de controle pode determinar quem receberá o golpe.

Ao clicar no botão “instalar”, o arquivo encontrado como install_flash_player.exe causa bloqueio dos seus dados na máquina.

Em dispositivos que já possuem Flash Player, como o Chrome e o Edge, nenhum aviso sobre atualização de plug-in será verdadeira.

Para garantir que a atualização seja verdadeira, é recomendado que elas sejam feitas sempre a partir do site da Adobe.

A Kapersky afirma:

“Nossos pesquisadores detectaram uma série de sites comprometidos, todos sites de notícias ou de mídia”

Por enquanto, a maioria das vítimas estão na Rússia (aproximadamente 65% dos sistemas infectados). A fabricante ainda afirma que o ataque é direcionado contra redes corporativas.

 

O ransomware se espalha pela rede

As informações sobre os métodos de propagação ainda são confusas. Há relatos de que o ransomware usa a mesma falha EternalBlue para se espalhar.

Outros afirmam que após contaminar o computador, o vírus é capaz de se espalhar para outros computadores da rede, usando credenciais de acesso. Em seu código, o vírus traz pares de usuários e senhas para tentar acessar outras máquinas, além de roubar a senha de acesso do próprio usuário do computador.

A Kaspersky sugere desativar o WMI do Windows para evitar infecções em rede.

 

Características do ransomware

Se caracteriza pelo sequestro de informações armazenadas e a exigência de um pagamento para receber um chave capaz de desbloquear os dados.

O valor de resgate solicitado pelo ransomware Bad Rabbit em Bitcoin é de 0.05 BTC, que equivale a aproximadamente R$ 900. Assim como outros vírus, usa um contador regressivo para pressionar a vítima a pagar pelo resgate o quanto antes.

Bad Rabbit

 

Dúvidas sobre o Bad Rabbit

Os autores dos ataques ainda são desconhecidos.

Não há confirmação de que se o valor do resgate for pago, os arquivos serão recuperados. Para fazer pagamentos, a vítima precisa preferencialmente de um computador funcionando.

O Bad Rabbit, porém, inutiliza o computador, ainda exige que a vítima digite um código na página de recuperação. Ainda não há relatos de que o pagamento da recompensa tenha permitido recuperar os arquivos.

Lista de sites afetados pelo Bad Rabbit

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

 

Quer ter mais segurança em seu negócio? Fale com a Agtech!

Fale com a Agtech