Análisis de malware

Bad Rabbit: una nueva campaña de ransomware que se extiende rápidamente por todo el mundo

27 de octubre de por Admin

24 de octubre: Bad Rabbit se propaga en la naturaleza

En octubre de, una nueva campaña masiva de ransomware se extendió rápidamente por toda Europa; el malware denominado Bad Rabbit infectó rápidamente los sistemas de más deorganizaciones importantes, principalmente en Rusia, Ucrania, Alemania, Japón y Turquía en unas pocas horas.

El ransomware Bad Rabbit comprometió los sistemas de varios grandes medios de comunicación rusos, la agencia de noticias Interfax y Fontanka.ru confirmaron que el malware los afectó.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Según Kaspersky , el aeropuerto internacional de Odessa ha informado de un ciberataque a su sistema de información, pero aún no está claro si se trata del mismo ataque.

» En algunas empresas el trabajo se ha paralizado por completo: los servidores y los puestos de trabajo están encriptados», dijo a la agencia TASS el director de la empresa rusa de ciberseguridad Group-IB, Iliá Sachkov .

Al principio, Estados Unidos y otros países occidentales no se vieron afectados explícitamente por la campaña Bad Rabbit, pero según la empresa antivirus Avast, la amenaza también se detectó en Estados Unidos.

«Teóricamente, si una organización estadounidense hubiera infectado socios en las regiones objetivo y estuvieran en la misma WAN con acceso SMB, Bad Rabbit podría haberse propagado lateralmente a las computadoras ubicadas en los EE. UU.», informó bleepingcomputer.com .

El US-CERT también publicó un aviso de seguridad sobre la campaña Bad Rabbit, advirtiendo sobre el uso de software sin parches ni soporte.

«US-CERT ha recibido múltiples informes de infecciones de ransomware, conocidas como Bad Rabbit, en muchos países alrededor del mundo. Una variante sospechosa de Petya, Bad Rabbit, es ransomware: software malicioso que infecta una computadora y restringe el acceso del usuario a la máquina infectada. hasta que se pague un rescate para desbloquearlo», se lee en la alerta publicada por el US-CERT. «US-CERT disuade a las personas y organizaciones de pagar el rescate, ya que esto no garantiza que se restaurará el acceso. El uso de software sin parches ni soporte puede aumentar el riesgo de proliferación de amenazas a la ciberseguridad, como el ransomware».

Muchos expertos señalaron que el ransomware Bad Rabbit es un malware similar a Petya; la comparación del código fuente con NotPetya reveló la existencia de fragmentos de código reutilizados.

El ransomware exige un rescate de 0,05 bitcoins (~ 280 dólares en el momento del ataque) a las víctimas para desbloquear sus sistemas.

El ransomware Dab Rabbit se propagó mediante ataques de descarga no autorizada; Los atacantes están utilizando instaladores falsos de reproductores Adobe Flash para engañar a las víctimas para que instalen el malware.

1: Instalador falso de reproductores Adobe Flash en el ataque de Bad Rabbit

«El 24 de octubre observamos notificaciones de ataques masivos con ransomware llamado Bad Rabbit. Ha estado dirigido a organizaciones y consumidores, principalmente en Rusia, pero también ha habido informes de víctimas en Ucrania. Así es como se ve un mensaje de rescate para las desafortunadas víctimas: » informó Kaspersky Lab.

2: pantalla Bad Rabbit

«No se utilizaron exploits, por lo que la víctima tendría que ejecutar manualmente el dropper de malware, que pretende ser un instalador de Adobe Flash. Hemos detectado varios sitios web comprometidos, todos ellos de noticias o medios de comunicación», continúa el análisis publicado . por Kaspersky Lab.

Los investigadores de malware de la empresa de seguridad ESET que analizaron tempranamente el código malicioso rastreado son ‘Win32/Diskcoder.D’. Según los expertos de ESET, el malware es una nueva variante del ransomware Petya . Se basa en el software de cifrado de código abierto DiskCryptor ; utiliza AES-128-CBC para el cifrado y las claves se generan utilizando CryptGenRandom y luego se protegen mediante una clave pública RSA codificada.

Los investigadores descubrieron que el nuevo ransomware no utiliza el exploit EternalBlue . Los primeros informes revelaron que el código malicioso primero escanea la red de destino en busca de recursos compartidos SMB abiertos, intenta acceder a ellos usando la lista codificada de credenciales para descartar el código malicioso y luego usa la herramienta Mimikatz para extraer las credenciales del objetivo.

«Win32/Diskcoder.D se puede propagar a través de SMB. A diferencia de algunas afirmaciones públicas, no utiliza la vulnerabilidad EthernalBlue como el brote de Win32/Diskcoder.C (Not-Petya). Primero, escanea la red interna en busca de recursos compartidos SMB abiertos. «, se lee en el análisis publicado por ESET.

«Mimikatz se inicia en la computadora comprometida para recolectar credenciales. También hay una lista codificada de nombre de usuario y contraseña».

Nuevos detalles preciosos surgieron del análisis de los investigadores de malware de Cisco Talos y F-Secure , quienes descubrieron y confirmaron, respectivamente, la presencia de un exploit de la NSA en el ransomware Bad Rabbit .

«A pesar de los informes iniciales, actualmente no tenemos evidencia de que se esté aprovechando el exploit EternalBlue. Sin embargo, identificamos el uso del exploit EternalRomance para propagarse en la red. Este exploit aprovecha una vulnerabilidad descrita en el boletín de seguridad de Microsoft MS17-010. «La vulnerabilidad también fue explotada durante la campaña de Nyetya», se lee en el análisis publicado por el equipo de Talos.

Los investigadores de ESET informaron que el sitio web de pago está alojado en la red Tor, la nota de rescate proporcionaba instrucciones para realizar el pago y mostraba una cuenta regresiva de 40 horas antes de que aumentara el precio del descifrado.

3 – Cuenta atrás del Conejo Malo

Análisis preliminar del conejo malo

Los colegas del laboratorio de malware CSE Cybsec ZLab realizaron un análisis preliminar del ransomware Bad Rabbit y descubrieron algunos aspectos interesantes del ataque.

El equipo publicó un preanuncio preliminar de un análisis completo que publicarán en los próximos días, pero creemos que nuestros hallazgos pueden ser útiles para la comunidad de seguridad.

Este malware vuelve a llamar al famoso NotPetya principalmente por dos características:

Al comparar NotPetya con Bad Rabbit, los investigadores de malware notaron que este último tiene un comportamiento más sofisticado. Los autores de malware probablemente reutilizaron algunas piezas del código de NotPetya , aumentando la complejidad del código en sí y corrigiendo el error de codificación que transforma a NotPetya de un ransomware a un limpiador . Bad Rabbit aprovecha la biblioteca de código abierto DiskCryptor para cifrar los archivos del usuario.

El ransomware se propaga mediante ataques de descarga no autorizada; Los atacantes infectaron muchos sitios en Rusia, Bulgaria y Turquía. Los piratas informáticos de Bad Rabbit implementaron en los sitios web comprometidos un JavaScript que redirige a los visitantes a 1dnscontrol[.]com. En el momento del análisis, ya no se puede acceder al sitio que alojaba el archivo malicioso. El script se utilizó para descargar el ransomware mediante una solicitud POST a la dirección IP estática (185.149.1]3).

El ransomware aparece como una actualización de Adobe Flash; en realidad, es un gotero que contiene algunas cargas útiles.

Cuando el dropper se ejecuta, primero verifica la existencia del archivo «C:Windowscscc.dat». Esta es la biblioteca utilizada por el malware para cifrar los archivos del usuario. El ransomware interpreta la presencia del archivo como un indicador de compromiso; esto significa que el host ya ha sido infectado y por este motivo se detiene la cadena de ataque. Podemos concluir que el archivo cscc.dat actúa como una especie de interruptor de apagado para el malware.

Cuando la infección está lista, el archivo dropper extrae algunos archivos:

Los investigadores descubrieron que el autor utiliza «infpub.dat» como «controlador» de Bad Rabbit; controla cada acción del temido ransomware. Una vez que «infpub.dat» se carga en la memoria, se borra del disco y queda sólo en la memoria, lo que dificulta la detección como ocurre con muchos otros programas maliciosos sin archivos.

4 – Algunas acciones de «infpub.dat»

La 2 muestra el proceso «infpub.dat» que realiza varias acciones, incluido el reinicio de la máquina y la ejecución del ejecutable «dispci.exe» al inicio.

5 – 5 – Programación de reinicio

El «infpub.dat» también tiene la tarea de propagarse en la red con una herramienta SMB particular para ejecutarse en las otras máquinas de la subred. Lanza una versión modificada de la herramienta «Mimikatz» para recolectar la contraseña almacenada en el host de la víctima y reutilizarla para obtener acceso a otras máquinas.

El malware escanea la red de destino en busca de recursos compartidos SMB abiertos, intenta acceder a ellos utilizando la lista codificada de credenciales para eliminar el código malicioso y luego usa la herramienta Mimikatz para extraer las credenciales del objetivo.

Otra diferencia entre NotPetya y Bad Rabbit es que este último impone su capacidad de propagación mediante fuerza bruta con su propia lista de palabras.

Después del reinicio programado, el proceso programado «dispci.exe» sobrescribe el MBR original con su propia versión.

El siguiente cuadro muestra el comportamiento del malware observado por los expertos en malware del equipo de CSE ZLab:

6 – Flujo de control de Bad Rabbit

Conclusión

Más reflexiones sobre el ransomware Bad Rabbit

Mientras Petya y NotPetya implementan un ataque de dos etapas, Bad Rabbit tiene tres etapas.

Petya NotPetya Conejo MaloEtapa 1 MBR Sobrescritura y reinicio forzado MBR Sobrescritura y reinicio forzado. El reinicio está programado después de 1 hora; Mientras tanto, el malware cifra los archivos del usuario. El ransomware cifra los archivos del usuario y programa un proceso para sobrescribir el MBR después deinutos. El malware programa y retrasa el programa muchas veces. La motivación aún no está clara.Etapa 2 Cifrado de archivos del usuario Cifrado de archivos del usuario

El malware ejecuta el proceso programado para sobrescribir MBR.

Después del reinicio, utiliza su propio gestor de arranque.Etapa 3 Muestra nota de rescate

El vector de ataque Bad Rabbit solicitó más esfuerzo respecto a los de Petya/NotPetya; Los actores de amenazas comprometieron docenas de sitios web para implementar JavaScript malicioso.

La mayoría de los sitios web comprometidos pertenecen a restaurantes, hoteles y servicios de «alquiler de casas».

¿Quién está detrás del ataque? ¿Cuál es la motivación de los verdaderos atacantes?

En esta fase no es posible atribuir el ataque a un actor de amenaza específico. Es interesante observar que el malware no implementa explícitamente un comportamiento de limpieza, lo que sugiere que los operadores tienen una motivación financiera. Sin embargo, el sitio web de The Onion utilizado para el pago ya no está disponible; esto implica que las víctimas no pueden pagar el rescate para descifrar el archivo.

Este comportamiento podría ser intencionado y los atacantes podrían utilizarlo para esconderse como táctica de distracción.

¿Cómo protegerse?

Los expertos en seguridad todavía están analizando el ransomware Bad Rabbit; Mientras tanto, los investigadores de malware de Kaspersky sugieren deshabilitar el servicio WMI para evitar que el malware se propague a través de la red de destino y bloquear la ejecución de los archivos c:windowsinfpub.dat y c:Windowscscc.dat.

Los expertos del CSE también señalaron que el archivo c:Windowscscc.dat podría considerarse un Killswitch para Bad Rabbit; su presencia detiene el proceso de infección.

Para proteger su sistema contra esta amenaza

Como de costumbre, manténgase alerta al abrir correo no solicitado que contenga documentos o al hacer clic en enlaces incrustados.

Referencias

http://securityaffairs.co/wordpress/64713/malware/bad-rabbit-ransomware.html

https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

https://www.welivesecurity.com//10/24/bad-rabbit-not-petya-back/

https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

http://securityaffairs.co/wordpress/64741/malware/preliminary-analysis-bad-rabbit.html

http://securityaffairs.co/wordpress/63081/malware/zlab-malware-analysis-report-notpetya.html

https://www.bleepingcomputer.com/news/security/small-amount-of-bad-rabbit-ransomware-victims-detected-in-the-usa/

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Tibbar.A

https://www.us-cert.gov/ncas/current-activity//10/24/Multiple-Ransomware-Infections-Reported

http://blog.talosintelligence.com//10/bad-rabbit.html

https://labsblog.f-secure.com//10/26/siguiendo-al-conejo-bad/