Na manhã de terça-feira, 24 de outubro de 2017, organizações na Rússia e Ucrânia relataram ter sido atingidas por um surto de ransomware que paralisou suas operações. Casos esporádicos também foram registrados na Turquia, Alemanha, Bulgária e Japão, de acordo com relatórios de diferentes fontes.
O malware, auto-intitulado Bad Rabbit, é um código ransomware projetado para criptografar e bloquear arquivos nos endpoints, e depois exigir o pagamento pelo seu lançamento. Bad Rabbit é também o nome de um site da Dark Web onde as vítimas são levadas a pagar para ter seus arquivos desbloqueados.
No momento em que isto é escrito, Bad Rabbit é entendido como tendo atingido principalmente organizações na Rússia. Mais especificamente, está a irromper nos meios de comunicação social do país. Em declarações entregues por algumas das entidades afectadas, foi relatado que os servidores estavam em baixo devido ao ataque em curso.
Na Ucrânia, o ataque atingiu organizações de infra-estruturas críticas no sector dos transportes. Uma das vítimas é o aeroporto de Odessa, que está localizado na terceira maior cidade do país, causando atrasos nos vôos devido ao processamento manual dos dados dos passageiros. A Ucrânia também viu seu sistema de metrô afetado, causando atrasos de pagamento nos terminais de atendimento ao cliente, embora os trens continuassem a funcionar normalmente.
Bad Rabbit é o terceiro surto perturbador de resgate este ano, após os vermes WannaCry e NotPetya que afetaram numerosas organizações no segundo trimestre de 2017. Dito isto, a técnica de propagação do Bad Rabbit não é baseada nas mesmas explorações, o que pode facilitar a contenção geral.
Download the Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES
The Propagation of Bad Rabbit
Baseado nas informações atualmente disponíveis, ao contrário da maioria dos ransomwares motivados financeiramente, o Bad Rabbit não se espalha por e-mail. De acordo com IBM X-Force, que analisa bilhões de mensagens de spam e malspam, Bad Rabbit não foi enviado em uma campanha de e-mail. Algumas vozes na comunidade de segurança consideram que o surto é um ataque direcionado que pode ter sido feito há meses, mas isso ainda não foi confirmado.
Para chegar aos pontos finais dos usuários, os operadores do Bad Rabbit comprometeram notícias e sites de mídia para que os visitantes fossem redirecionados para páginas de aterrissagem maliciosas que eles controlam. Nessas páginas, os usuários foram aconselhados a instalar uma atualização do Adobe Flash, quando ocorreu um download malicioso, entregando o dropper de malware no que é chamado de ataque drive-by – não solicitando nenhuma ação para soltar um arquivo no endpoint.
Aqueles que foram adiante e executaram o arquivo sem saber, soltaram o malware em seus endpoints e viram seus arquivos criptografados. A nota dos operadores de malware exige 0,05 BTC em resgate para desbloquear os arquivos.
De acordo com as informações da comunidade de segurança, os sites usados para propagar o malware foram hospedados nos mesmos servidores que foram usados para distribuir o malware NotPetya em junho de 2017. Essa rede de sites pré-determinados estava aparentemente sendo configurada ao longo do tempo desde julho de 2017.
Uma menção notável feita por um fornecedor de segurança relatou que todas as empresas foram infectadas por volta da mesma época. Esse fornecedor especulou que os atacantes já poderiam estar em alguns dos sistemas das vítimas. Nesse caso, os atacantes não seriam capazes de lançar o malware diretamente?
Esta questão levanta outra opção: É possível que pelo menos um e-mail específico tenha sido enviado a cada vítima com uma isca para levá-los a um dos sites de mídia infectados em um ataque ao estilo de buraco de água? Uma vez que havia um usuário infectado, o malware poderia ter se propagado a partir do paciente zero.
Moving Through Networks
Bad Rabbit se espalha pelas redes usando algumas ferramentas para ajudá-lo a chegar a pontos finais adicionais. De acordo com o IBM X-Force, o malware utiliza um recurso do Windows SMB, mas não está relacionado ao método anteriormente utilizado pelo exploit EternalBlue. Nossos pesquisadores também estão vendo os pedidos de OPÇÕES HTTP de malware na porta 80 por /admin$, sugerindo o uso de WebDAV como parte do esquema.
Além disso, o Bad Rabbit parece aproveitar a ferramenta Mimikatz – que foi construída como uma ferramenta de teste e não para fins maliciosos, mas é freqüentemente usada por atacantes, no entanto – para recuperar as senhas de outros usuários na rede. O malware também tinha algumas senhas básicas hardcoded. Estranhamente, essas eram supostamente as senhas mais populares usadas, de acordo com o filme “Hackers” de 1995.
Payment Demand
Bad Rabbit exige 0.05 BTC em resgate para liberar o cadeado colocado em arquivos criptografados. No momento desta escrita, 1 BTC vai por aproximadamente $5.450, o que significa que o pedido de resgate inicial seria de aproximadamente $273. A nota de resgate aparece na tela do endpoint infectado, orientando o usuário a acessar um serviço web dedicado.
Once no site do atacante, que está hospedado na rede Tor para manter a comunicação anônima, a vítima é avisada que ele ou ela tem apenas cerca de 41 horas para pagar. A vítima é então mostrada um relógio de contagem decrescente que aguarda uma “password” – a chave de desencriptação para desbloquear os seus ficheiros. No momento deste aviso, não foi confirmado que os atacantes podem de fato decifrar os arquivos.
Uma Situação Continua
Os ataques do Coelho Mau estão se desenvolvendo à medida que os vendedores de segurança liberam mais informações e as organizações aprendem mais e contêm os ataques. Se você é um cliente IBM, navegue até X-Force Exchange para uma página dedicada a responder aos ataques do Bad Rabbit com produtos de segurança IBM. Para atualizações técnicas diretamente do X-Force Research da IBM Security, por favor acesse nossa coleção X-Force Exchange, onde nossas equipes de pesquisa e resposta a incidentes fornecerão informações à medida que esta situação se desenrola.
Todas as organizações são fortemente aconselhadas a informar os funcionários sobre o surto, explicar o fluxo da infecção e permanecer extremamente vigilantes sobre o Bad Rabbit nas próximas horas e dias.
Bad Rabbit não afetou as empresas nos EUA até o momento deste lançamento, embora um fornecedor de antivírus tenha indicado que sua telemetria está mostrando algumas infecções nos EUA, as organizações são encorajadas a informar a Equipa de Resposta a Emergências Comunitárias (CERT) e a polícia de e-crime sobre qualquer infecção relacionada com a campanha “Bad Rabbit”.
Se acredita que a sua empresa foi afectada e precisa de assistência, por favor ligue para a sua Linha Directa de Resposta a Incidentes IBM X-Force 24×7:
IRIS EMEA 24×7>
UAE: (+971) 800 044 424 17
IRIS América do Norte 24×7 Linha Direta
USA: (+1) 888 241 9812
Denmark: (+45) 4331 4987
Finlândia: (+358) 9725 22099
Letúia: (+371) 6616 3849
Noruega: (+47) 2302 4798
Saudi Arábia: (+966) 800 844 3872
Saudi Arábia: (+966) 800 850 0399
Suécia: (+46) 8502 52313
UK: (+44) 20 3684 4872
Atacantes de não pagar resgate
De acordo com uma pesquisa da IBM, 70% das empresas anteriormente atingidas pelo resgate indicaram que tinham pago o resgate para recuperar os dados da empresa. Dessa parcela, 50% pagaram mais de $10.000, e 20% pagaram mais de $40.000. É importante notar que o pagamento aos atacantes não garante o acesso de novo.
As organizações e indivíduos afetados pelo Coelho Mau são aconselhados a não pagar aos atacantes. A partir do momento em que isto foi escrito, os fornecedores de antivírus lançaram assinaturas e algumas opções de descriptografia que podem ajudar a desbloquear arquivos criptografados.
O ataque foi muito provavelmente projetado para interrupção ao invés de ganhos financeiros. Mais conselhos sobre contenção e cobertura de produtos IBM serão disponibilizados nas próximas horas.
Para conselhos gerais sobre como manter os seus sistemas a salvo do ransomware, por favor, reveja o nosso Ransomware Response Guide.