Especialistas da Kaspersky Labs, da ESET e da Proofpoint alertaram os utilizadores para a disseminação do código malicioso Bad Rabbit que sequestra os ficheiros dos computadores afetados e pede um resgate de 0.05 Bitcoin, ou seja, cerca de 260 euros, para os libertar novamente.
Isso tem semelhanças com os surtos WannaCry e Petya no início deste ano.
Na Ucrânia, o ataque foi identificado no aeroporto de Odessa, no metro de Kiev e no Ministério da Infraestrutura, embora não se confirme que é o Bad Rabbit em todas estas situações. Por outro lado, as empresas russas Interfax e Fontanka.ru já confirmaram ter sido vítimas deste código que se espalha disfarçado de atualização do Adobe Flash, explica o Engadget.
Os utilizadores que estão afetados são confrontados com um pedido de resgate e um prazo de 40 horas para pagar, antes de o preço subir novamente.
“Em algumas das empresas, o trabalho foi completamente paralisado – servidores e estações de trabalho são criptografados”, disse o chefe da empresa russa de segurança cibernética Group-IB, Ilya Sachkov, na agência de notícias TASS.
Ainda não há qualquer indicações sobre se esta vaga de ataques está relacionada com o Petya, com o NotPetya ou com o WannaCry, que afetaram milhares de utilizadores em vários países nos últimos tempos. Ainda nenhum grupo de hackers reinvindicou a autoria dos ataques.
Veja mais detalhes:
Histórico
- Oct 24, 2017 – ESET article posted to WeLiveSecurity web site
- Oct 24, 2017 – XFE collection created
- Oct 25, 2017 – XFE collection assessment published in XFTAS newsletter
Empresas
- Interfax
- Fontanka
- Kiev Metro
- Transportation industry
- Government organizations
Países já afetados
- Russia: 65%
- Ukraine: 12.2%
- Bulgaria: 10.2%
- Turkey: 6.4%
- Japan: 3.8%
- Other: 2.4%
Industrias
- Transportation
- Government
- News agencies
Tipo de ataque
- Ransomware
- Credential theft
Indicadores de compromisso (IoCs)
79116fe99f2b421c52ef64097f0f39b815b20907
413eba3973a15c1a6429d9f170f3e8287f98c21c
16605a4a29a101208457c47ebfde788487be788d
4f61e154230a64902ae035434690bf2b96b4e018
- afeee8b4acff87bc469a6f0364a81ae5d60a2add
- de5c8d858e6e41da715dca1c019df0bfb92d32c0
- 1dnscontrol.com/flash_install.php
- caforssztxqzf2nm.onion
- 185.149.120.3
- \admin$\infpub.dat
- \admin$\cscc.dat
- 94.41.107.228
- 109.162.2.39
- 31.44.10.46
- 188.143.30.190
- 109.104.176.20
- 94.244.149.221
- 188.190.197.231
- 77.239.190.205
- 81.22.135.82
- 178.216.99.219
Sites comprometidos
- argumentiru.com
- www.fontanka.ru
- grupovo.bg
- www.sinematurk.com
- ica.co
- spbvoditel.ru
- argumenti.ru
- www.mediaport.ua
- blog.fontanka.ru
- an-crimea.ru
- www.t.ks.ua
- most-dnepr.info
- rta.com
- www.otbrana.com
- calendar.fontanka.ru
- www.grupovo.bg
- www.pensionhotel.cz
- www.online812.ru
- www.imer.ro
- novayagazeta.spb.ru
- i24.com
- bg.pensionhotel.com
- ankerch-crimea.ru
- bingo.bangabongo.org
Usado Malware
- Discoder.D
- Mimikatz
Recomendações
Verifique se o software anti-vírus e os arquivos de assinatura associados estão atualizados.
Local Kill Switch (Grupo-IB):
Crie o arquivo C: \ windows \ infpub.dat
Defina-o como somente leitura. Depois disso, mesmo se infectados, os arquivos não serão criptografados.
Please reference the IBM Ransomware Response Guide.
Referências
Fornecedores e pesquisadores
- https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back-improved-ransomware/
- https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/
- https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/
- https://www.us-cert.gov/ncas/current-activity/2017/10/24/Multiple-Ransomware-Infections-Reported
- https://www.group-ib.com/blog/badrabbit
- http://blog.talosintelligence.com/2017/10/bad-rabbit.html
- http://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreads-via-network-hits-ukraine-russia/
- https://nakedsecurity.sophos.com/2017/10/24/bad-rabbit-ransomware-outbreak/
- https://researchcenter.paloaltonetworks.com/2017/10/threat-brief-information-bad-rabbit-ransomware-attacks/
- https://researchcenter.paloaltonetworks.com/2017/10/palo-alto-networks-protections-bad-rabbit-ransomware-attacks/
- https://www.zscaler.com/blogs/research/bad-rabbit-new-petya-ransomware-variant
- https://blog.rapid7.com/2017/10/24/the-badrabbit-ransomware-attack-what-you-need-to-know/
- https://www.vanimpe.eu/2017/10/24/badrabbit-malware/
- https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/
- https://ssu.gov.ua/en/news/1/category/2/view/4054
Para se proteger, conte com a Introduce e fale conosco.