El 'ransomware' Bad Rabbit es ya un ciberataque mundial

Las redes de grandes organizaciones de países como Rusia, Ucrania, Turquía y Alemania han sido las primeras en verse afectadas con al menos 200 víctimas atacadas por esta nueva modalidad de ransomware a la que se le ha denominado Bad Rabbit.

Ransomware Bad Rabbit

Las compañías especializadas en soluciones de ciberseguridad, entre las que se encuentran Kaspersky Labs, ESET o Proofpoint destacan que el ataque se propaga a través de una actualización falsa de Adobe Flash. Además, procede de la misma forma que ya hicieran sus anteriores Petya o WannaCry, de tal manera que una pantalla en forma de mensaje se encarga de advertir al usuario de que su ordenador está infectado y que debe pagar un montante de 281 dólares (0,05 bitcoins) para que el equipo cifrado pueda ser recuperado. Un contador de tiempo hacia atrás informa de que una vez transcurrido ese período, el precio del rescate se incrementará.

El medio de comunicación ruso Interfax fue el que levantó las alarmas al ser el primero en comunicar que sus servidores estaban offline debido a un ciberataque. La agencia de noticias utilizaba la red social de Facebook para emitir el comunicado mientras trataba de recuperarse del golpe. A su vez, otra firma de seguridad rusa, conocida como Group-IB, publicaba una captura de pantalla del nuevo ransomware al que ya se le conoce como Bad Rabbit. Desde su descubrimiento, más de 200 organizaciones se habrían visto afectadas entre las que se encuentran el aeropuerto Odessa de Ucrania, el ministerio de infraestructuras de Ucrania, o el metro de Kiev.

BadRabbit: todo lo que sabemos

A decir verdad, la nueva modalidad de ransomware se está extendiendo por Europa como un reguero de pólvora afectando ya a más de 200 grandes organizaciones, principalmente con sede en Rusia, Ucrania, Turquía y Alemania. Principalmente, afecta a las redes corporativas y exige como rescate la cifra de 285 dólares en moneda bitcoin para proceder con el desbloqueo de los sistemas afectados.

Desde ESET destacan que el malware Bad Rabbit podría ser una variante de Petya, también conocidacomo Petrwrap, NotPetya, exPetr y GoldenEye, debido a que aparece como Win32 / Diskcoder.D.

Se vale de DiskCryptor, un software de código abierto para el cifrado de unidades completas, para cifrar los archivos mediante claves RSA 2048. Se cree que la nueva oleada de ataques de ransomware no está utilizando el exploit EternalBlue, la vulnerabilidad SMB filtrada que fue utilizada por los ransomware WannaCry y Petya para propagarse a través de las redes.

Bad Rabbit escanea la red interna de la organización en busca de recursos compartidos SMB abiertos. A continuación, prueba una lista codificada de credenciales utilizadas comúnmente para descartar el malware y utiliza una herramienta adicional para extraer las credenciales de los sistemas afectados.

Los investigadores todavía están analizando Bad Rabbit para comprobar si hay una forma de descifrar los equipos sin pagar el rescate exigido. 

¿Cómo prevenir ataques de ransomware?

Desde la firma de seguridad Kaspersky Lab sugieren deshabilitar el servicio WMI para evitar que el malware se propague a través de cualquier red. La mayoría de ransomware se propaga a través de correos electrónicos con phishing, anuncios maliciosos en sitios web, así como aplicaciones y programas de terceros. Por lo tanto, conviene tener precaución al abrir documentos procedentes de terceros no enviados a través de un correo electrónico conocido, así como el verificar la fuente para prevenir la infección. También aconseja la compañía el hecho de no descargar ninguna aplicación de fuentes de terceros procedentes de tiendas de Apps no oficiales.

Por último y no menos importante, está la labor de realizar habitualmente copias de seguridad en diversos dispositivos, recalcando el contar con alguno de almacenamiento externo que no se encuentre conectado a Internet de manera continua. 

Microsoft ha liberado una guía específica para que los administradores de redes estén informados y puedan hacer frente a esta nueva ciberamenaza, incluyendo una nota de los registros de eventos ID 1102 y 06. 

Actualizado el 25/10/2017 a las 13:29 horas

Desde SophosLab alertan de que las versiones de antivirus detectarán esta variación como Troj / Ransom-ERK. Sophos Sandstorm ha detectado de forma proactiva esta amenaza a través de su programa de detección de machine learning, así como de Sophos Intercept X que ha bloqueado esta amenaza haciendo uso de la tecnología Sophos CryptoGuard. Las soluciones de protección web de Sophos también bloquean las páginas web que puedan albergarlo. 

Ricardo Maté, director general de Sophos Iberia, comenta que era cuestión de tiempo que alguien tomase las ideas de WannaCry y NotPetya para usarlas creando un nuevo ransomware que se distribuyera de forma fácil, en este caso utilizando un archivo de instalación falso de Adobe Flash Player. “Lo que convierte a este malware más peligroso que otros es su capacidad de propagación por toda una organización en forma de gusano, y no solo a través de archivos adjuntos de correo o web vulnerables”, puntualiza el directivo.

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper