Los ataques de ransomware Bad Rabbit ponen de manifiesto el riesgo de propagación de brotes de malware

Escrito por el en Articles

En la mañana del martes 24 de octubre de 2017, organizaciones de Rusia y Ucrania informaron haber sido afectadas por un brote de ransomware que paralizó sus operaciones. También se registraron casos esporádicos en Turquía, Alemania, Bulgaria y Japón, según informes de diferentes fuentes.

El malware, autodenominado Bad Rabbit, es un código de ransomware diseñado para cifrar y bloquear archivos en puntos finales, y luego exigir un pago para su liberación. Bad Rabbit es también el nombre de un sitio de la Dark Web en el que se induce a las víctimas a pagar para desbloquear sus archivos.

En el momento de escribir este artículo, se entiende que Bad Rabbit ha afectado principalmente a organizaciones de Rusia. Más concretamente, está irrumpiendo en medios de comunicación del país. En declaraciones realizadas por algunas de las entidades afectadas, se informó de que los servidores estaban fuera de servicio debido al ataque en curso.

En Ucrania, el ataque afectó a organizaciones de infraestructuras críticas en el sector del transporte. Una de las víctimas es el aeropuerto de Odessa, situado en la tercera ciudad más grande del país, lo que provocó retrasos en los vuelos debido al procesamiento manual de los datos de los pasajeros. Ucrania también vio afectado su sistema de metro, provocando retrasos en el pago en las terminales de atención al cliente, aunque los trenes siguieron funcionando con normalidad.

Bad Rabbit es el tercer brote de ransomware disruptivo de este año, tras los gusanos WannaCry y NotPetya que afectaron a numerosas organizaciones en el segundo trimestre de 2017. Dicho esto, la técnica de propagación de Bad Rabbit no se basa en los mismos exploits, lo que puede hacer que sea más fácil de contener en general.

Descarga la guía de respuesta al ransomware de IBM INCIDENT RESPONSE SERVICES

La propagación de Bad Rabbit

En base a la información disponible actualmente, a diferencia de la mayoría del ransomware con motivación financiera, Bad Rabbit no se propaga a través del correo electrónico. Según IBM X-Force, que analiza miles de millones de mensajes de spam y malspam, Bad Rabbit no fue enviado en una campaña de correo electrónico. Algunas voces de la comunidad de seguridad consideran que el brote es un ataque dirigido que puede llevar meses de preparación, pero eso aún está por confirmar.

Para llegar a los puntos finales de los usuarios, los operadores de Bad Rabbit comprometieron sitios de noticias y medios de comunicación para que los visitantes fueran redirigidos a páginas de aterrizaje maliciosas que ellos controlan. En esas páginas, se aconsejaba a los usuarios que instalaran una actualización de Adobe Flash, momento en el que se producía una descarga maliciosa, que entregaba el dropper de malware en lo que se denomina un ataque drive-by, es decir, sin solicitar ninguna acción para soltar un archivo en el endpoint.

Los que seguían adelante y ejecutaban el archivo desataban el malware en sus endpoints sin saberlo y veían sus archivos cifrados. La nota de los operadores del malware exige 0,05 BTC de rescate para desbloquear los archivos.

De acuerdo con la información de la comunidad de seguridad, los sitios web utilizados para propagar el malware estaban alojados en los mismos servidores que se utilizaron para distribuir el malware NotPetya en junio de 2017. Esa red de sitios web predeterminados aparentemente se estaba configurando en el tiempo desde julio de 2017.

Una mención destacada de un proveedor de seguridad informó que todas las empresas fueron infectadas alrededor del mismo tiempo. Ese proveedor especuló que los atacantes podrían estar ya en algunos de los sistemas de las víctimas. En ese caso, ¿no podrían los atacantes lanzar el malware directamente?

Esta pregunta plantea otra opción: ¿Es posible que se enviara al menos un correo electrónico dirigido a cada víctima con un señuelo para llevarlos a uno de los sitios de medios infectados en un ataque al estilo de un abrevadero? Una vez que había un usuario infectado, el malware podría haberse propagado desde el paciente cero.

Moviendo a través de las redes

Bad Rabbit se propaga a través de las redes utilizando algunas herramientas que le ayudan a llegar a otros puntos finales. Según IBM X-Force, el malware utiliza una función SMB de Windows, pero no está relacionado con el método utilizado anteriormente por el exploit EternalBlue. Nuestros investigadores también han observado que el malware emite peticiones HTTP OPTIONS en el puerto 80 para /admin$, lo que sugiere el uso de WebDAV como parte del esquema.

Además, Bad Rabbit parece aprovechar la herramienta Mimikatz -que fue construida como herramienta de prueba y no con fines maliciosos, pero que, no obstante, es utilizada a menudo por los atacantes- para recuperar las contraseñas de otros usuarios de la red. El malware también tenía algunas contraseñas básicas codificadas. Curiosamente, esas eran supuestamente las contraseñas más populares utilizadas, según la película de 1995 «Hackers».

Demanda de pago

Bad Rabbit exige 0,05 BTC de rescate para liberar el bloqueo colocado en los archivos cifrados. En el momento de escribir este artículo, 1 BTC vale aproximadamente 5.450 dólares, lo que significa que la demanda inicial de rescate sería de unos 273 dólares. La nota de rescate aparece en la pantalla del endpoint infectado, dirigiendo al usuario a acceder a un servicio web dedicado.

Una vez en el sitio web del atacante, que está alojado en la red Tor para mantener la comunicación anónima, se advierte a la víctima de que sólo tiene unas 41 horas para pagar. A continuación, se muestra a la víctima un reloj de cuenta atrás que espera una «contraseña», la clave de descifrado para desbloquear sus archivos. En el momento de este aviso, no se ha confirmado que los atacantes puedan efectivamente descifrar los archivos.

Una situación en curso

Los ataques de Bad Rabbit están evolucionando a medida que los proveedores de seguridad publican más información y las organizaciones aprenden más y contienen los ataques. Si es cliente de IBM, visite X-Force Exchange para ver una página dedicada a la respuesta a los ataques Bad Rabbit con productos de IBM Security. Para obtener actualizaciones técnicas directamente de X-Force Research de IBM, acceda a nuestra colección X-Force Exchange, donde nuestros equipos de investigación y respuesta a incidentes proporcionarán información a medida que se desarrolle esta situación.

Se recomienda encarecidamente a todas las organizaciones que informen a los empleados sobre el brote, que les expliquen el flujo de la infección y que permanezcan extremadamente atentos a Bad Rabbit en las próximas horas y días.

Bad Rabbit no ha afectado a empresas en los Estados Unidos hasta el momento de esta publicación, aunque un proveedor de antivirus indicó que su telemetría está mostrando algunas infecciones en los Estados Unidos. Ante esto, si se produce algún signo de infección, informe al Centro de Denuncias de Delitos en Internet (IC3) del FBI en cuanto lo descubra.

Fuera de los Estados Unidos, Se recomienda a las organizaciones que informen a su Equipo de Respuesta a Emergencias de la Comunidad (CERT) y a la policía de delitos electrónicos sobre cualquier infección relacionada con la campaña Bad Rabbit.

Si cree que su empresa se ha visto afectada y necesita ayuda, llame a su línea directa de respuesta a incidentes 24×7 de IBM X-Force:

Línea directa 24×7 de IRIS EMEA

EUA: (+971) 800 044 424 17

IRIS North America 24×7 Hotline

USA: (+1) 888 241 9812

Dinamarca: (+45) 4331 4987

Finlandia: (+358) 9725 22099

Letonia: (+371) 6616 3849

Noruega: (+47) 2302 4798

Arabia Saudí: (+966) 800 844 3872

Arabia Saudí: (+966) 800 850 0399

Suecia: (+46) 8502 52313

ESTADOS UNIDOS: (+44) 20 3684 4872

No pague a los atacantes de ransomware

Según una encuesta de IBM, el 70% de las empresas previamente afectadas por ransomware indicaron que habían pagado el rescate para recuperar los datos de la empresa. De esa porción, el 50% pagó más de 10.000 dólares y el 20% pagó más de 40.000 dólares. Es importante señalar que pagar a los atacantes no garantiza recuperar el acceso.

Se aconseja a las organizaciones y personas afectadas por Bad Rabbit que no paguen a los atacantes. En el momento de escribir este artículo, los proveedores de antivirus han publicado firmas y algunas opciones de descifrado que pueden ayudar a desbloquear los archivos encriptados.

El ataque fue probablemente diseñado para la interrupción en lugar de la ganancia financiera. En las próximas horas se darán más consejos sobre la contención y la cobertura de los productos de IBM.

Para obtener consejos generales sobre cómo mantener sus sistemas a salvo del ransomware, consulte nuestra Guía de respuesta al ransomware.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.