Bad Rabbit (malware)
| Bad Rabbit (malware) | |
|---|---|
| Lançamento | 24 de outubro de 2017 |
| Sistema operacional | Microsoft Windows |
| Gênero(s) | Ransomware |
Bad Rabbit ("Coelho Malvado" em inglês) é o nome dado a uma forma de ransomware encriptador descoberto inicialmente no ano 2017. O programa em questão invade a rede de usuários através de um executável, encripta seus dados, e em seguida demanda um depósito de 0,05 bitcoins (cerca de R$1500 em 12 de dezembro de 2019) para enviar a chave virtual para reverter o processo.[1]
O nome 'Bad Rabbit' origina do cabeçalho no site que o ransomware direciona suas vítimas, mas o nome real desta nova versão de malware é Diskcoder.d, também responsável pelo surto do vírus Petya, que afetou países como Rússia e Ucrânia mais cedo em 2017.[2]
O malware em questão foi parte de um ataque cibernético ocorrido em outubro de 2017 que afetou primariamente a Rússia e Ucrânia, embora haja relatos de ataques em menor escala na Alemanha, Turquia, Bulgária e Japão, reportado por pesquisadores do Kaspersky Lab.[3][4]
De acordo com especialistas em cibercrime, o Malware possui muitas semelhanças estruturais com o vírus Petya e WannaCry, embora haja diferenças em como ele se espalha e reproduz. De acordo com os especialistas trabalhando para companhias de segurança digital Kaspersky e ESET, os indivíduos responsáveis pelo Petya podem também ter envolvimento com a criação do Bad Rabbit.[5] Também há confirmação por parte de Kaspersky Labs que a estrutura entre os dois programas é bastante similar, ambos tendo usado métodos parecidos para infectar redes corporativas.[4]
Funcionamento[editar | editar código-fonte]
Infecção[editar | editar código-fonte]
Uma das formas mais comuns que Bad Rabbit utiliza para invadir uma determinada rede através de uma requisição falsa de atualização do Adobe Flash em sites de notícia comprometidos, onde visitantes das páginas são enganados e voluntariamente instalam o vírus.[4] Também pode se espalhar através de força bruta, dando palpites de senhas mais comuns para obter direitos de administrador no sistema.[6][7]
A exploit utilizada para a brecha de sistema foi eventualmente descoberta por pesquisadores da Cisco como sendo uma versão alterada da EternalRomance, dissolvendo as alegações prévias durante o ataque de que nem EternalRomance ou EternalBlue eram componentes do protocolo do Bad Rabbit.[8]
Após contaminar um computador, o Malware utiliza uma ferramenta conhecida como Mimikatz,[7] e com isso extrai credenciais do usuário como Admin, Guest, User, root, entre outros. Com essa estratégia, o programa é capaz de se disseminar lateralmente para computadores da mesma rede, pondo em risco a rede inteira após apenas uma brecha de segurança.[4]
Encriptação[editar | editar código-fonte]
Bad Rabbit também é capaz de utilizar um programa legítimo chamado DiskCryptor para encriptar as informações da vítima.[6][7]
Logo em seguida, o computador do usuário é reiniciado com uma mensagem intitulada "Oops! Your files have been encrypted", onde a vítima é redirecionada a uma página da rede TOR exibindo o seguinte texto[3]:
BAD RABBIT
If you access this page your computer has been encrypted. Enter the appeared personal key in the field below. If succeed, you’ll be provided with a bitcoin account to transfer payment. The current price is on the right.
Once we receive your payment you’ll get a password to decrypt your data. To verify your payment and check the given passwords enter your assigned bitcoin address or your personal key.
Time left before the price goes up
36-25-48
Price for decryption:
฿ 0.05
Especialistas e agentes do governo recomendam que não se pague a quantia, visto que não há nenhuma garantia que os arquivos serão restaurados.[4]
Impacto[editar | editar código-fonte]
Numa terça-feira, 24 de Outubro, relatos começaram a surgir ao redor da Europa que tinha sido descoberto uma nova forma de ransomware, agora conhecido como BadRabbit. Os primeiros alvos foram grandes organizações na Rússia e Ucrânia, como o Ministro Ucraniano de Infraestutura, o Aeroporto de Odessa, o sistema público de transporte em Kiev e os sites de notícias russos Interfax e Fontanka.
A maioria das vítimas do malware são localizadas na Rússia e Ucrânia, embora ataques também tenham sido reportados na Turquia, Alemanha, com a firma de segurança digital ESET reportando indícios de contaminação do BadRabbit em regiões do Japão e Bulgária.[4]
O ataque durou até meio-dia, embora ataques recorrentes foram detectados em 19:55 seguindo o horário de Moscow. De acordo com estatísticas da KSN, quase 200 sistemas foram afetados pelo vírus.[9]
Semelhanças e diferenças com Petya/WannaCry[editar | editar código-fonte]
Muitos membros indústria de computação fizeram comparações entre o BadRabbit com as ameaças globais WannaCry e Petya, embora ainda haja diferenças contrastantes entre os três, os mesmos também possuem várias semelhanças.[10]
Começando por semelhanças mais básicas, todos os incidentes envolvem ransomwares de encriptação, e dependem em parte de exploits vazadas pelo Equation Group.[10] Inicialmente durante o ataque, era suspeitado que o BadRabbit utilizava a mesma exploit atribuída ao Petya (EternalBlue), embora tenha sido eventualmente confirmado que uma versão modificada do EternalRomance era usada.
| WannaCry | Petya | Bad Rabbit | |
|---|---|---|---|
| Conhecido como | WannaCry2.0, WannaCrypt0r, WannaCrypt, WCrypt, WCRY | ExPetr, PetWrap, NotPetya, Nyetya, Petna | Bad Rabbit |
| Data de lançamento | 12 de Maio de 2017 | 28 de Junho de 2017 | 24 de Outubro de 2017 |
| Países mais afetados | UK, RU, UKR, IN, TW | UKR, DE, TR, BG, JPN, US | UKR, RU, BG, TR, JPN[4] |
| Firmas mais afetadas | NHS UK, Telefonica Spain, FedEx, Deutsche Bahn, Nissan, Iberdrola e Gas Natural, todos caixas eletrônicos da Índia, VTB RU Bank, Universidade de Waterloo, RZD RU, Portugal Telecom, etc. | Maersk Group; Maerk Line, APM Terminals e Damco, Saint-Gobain, Mondelez International, Merck & Co., WP, Evraz and Rosneft, DLA Piper, Heritage Valley Health System, etc. | Metrô ucraniano, Aeroporto de Odessa, Interfax, Fontanka.ru |
| Setores mais afetados | Telecoms, universidades, energia e gás, sistemas públicos, bancos, transporte, setores públicos, automotivos, imprensa | Transporte, telecoms, energia, sistemas públicos, aço e óleo, legal, farmacêutico, imprensa | Imprensa, transporte |
| Especulação de Finalidade | Financeiro | Destruição/disrupção | Destruição/disrupção |
| Vetor de infecção | Campanhas maliciosas de spam de e-mails | Campanhas maliciosas de spam de e-mails, ataques cibernéticos na MeDoc (companhia ucraniana) utilizando atualizações para instalar malware | Servidores originais para enviar malware (após queda de aproximadas 6 horas), sites comprometidos (drive-by download) |
| Vulnerabilidades | EternalBlue, DoublePulsar, injeção shellcode | EternalRomance, EternalBlue | similar a EternalRomance, exceto sem utilizar DoublePulsar ou shellcode[8] |
| Nomes de arquivos | @WanaDecryptor@.exe, b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, u.wnry, taskdl.exe, taskdl.exe, taskse.exe, taskhsvc.exe | perfc.dat | infpub.dat, cscc.dat |
| Enumeração | Portas 139, 445, 3389 | Portas 139, 445 e enumeração de disco para MFT/MBR | Apenas enumeração de portas em 139, 445 para acesso de escrita. Sem enumeração de disco até escrever em MFT,UPnP |
| Método de obtenção de credenciais | Mimikatz (alterado) | Mimikatz (alterado) | Mimikatz (alterado),[4] lista de credenciais predefinidas no sistema |
| Movimento lateral/espalhamento | EternalBlue, SMBv1, DoublePulsar | EternalRomance, EternalBlue, SMBv1, SMB/NetBIOS, PsExec e WMIC (caso SMB falhe) | zzz_exploit, SMB/NetBIOS, SVCCTL (também conhecido como SCMR), WMIC (caso SMB falhe) |
| Força o computador a reiniciar | Não | Sim | Sim |
| Cria serviço | Sim em caso de falha de conexão, através de SMB | Não | Sim (Windows Client Side Caching DDriver) |
| Mecanismos de persistência e uso de tarefas agendadas | Sim | Sim | Sim |
| Deleta registros de eventos | Não | Sim (através de 'wevutil' e 'fsutil') | Sim (através de 'wevutil' e 'fsutil') |
| Encripta arquivos | Sim | Sim | Sim |
| Algoritmo de Encriptação | AES-128 modo CBC, RSA-2048 | AES-128 modo CBC, RSA-2048 | AES-128 modo CBC, RSA-2048 |
| Kernel bootloader | Nenhum | Modified Petya bootloader | Custom bootloader e DiskCryptor |
| Encripta/modifica MBR | Não | Sim (instalado no início do MBR) | Sim (instalado no fim do MBR) |
| Encripta/modifica MFT | Não | Sim (Salsa20) | Sim (AES-256-XTS) |
| Utilização de rede TOR para pagamento | Sim | Sim | Sim[3] |
| Endereços bitcoin |
|
|
|
| Mensagem CHKDSK falsa | Não | Sim | Não |
| Demanda ransomware | ฿0.05 a ฿0.09 | ฿0.05 | ฿0.05 |
| Número de tipos/extensões de arquivos alvejadas | 184 | 62 | 113 |
| Possibilidade de Decriptação | Sim | Não | Possivelmente |
| Referências a personagens, etc | Não | Não | Sim (Game of Thrones, Hackers) |
Como se proteger[editar | editar código-fonte]
- BadRabbit precisa ser manualmente instalado através de uma atualização contaminada do Adobe Flash. Se o seu antivírus detectar o malware, ou o usuário simplesmente não instalar o arquivo, o malware é incapaz de funcionar.[2]
- Vários produtos de segurança, como o ESET e Kaspersky, alegam proteger o usuário do vírus. É recomendado que os usuários rodando qualquer antivírus procure saber se a sua versão alega proteção contra o BadRabbit, e que se esteja instalada a versão mais atual do mesmo.[2]
- Os arquivos utilizados pelo BadRabbit para funcionar são conhecidos, são chamados infpub.dat e cscc.dat, ambos se encontrando no diretório Windows no drive C:.[2]
- Certifique que suas atualizações do Windows Security estão em dia, pois o método de propagação do BadRabbit foi inviabilizado pelo mesmo em 2017.[2]
Trivia[editar | editar código-fonte]
- O código do malware está repleto de referências culturais modernas. Por exemplo, no meio do código, está citado o nome de dois dragões que aparecem no show da HBO, Game Of Thrones.[7][11]
- O programa também se espalha testando senhas mais comuns, dentre elas: love, sex, god e secret, que foram consideradas as "quatro senhas mais comuns" no filme Hackers, de 1995.[7][11]
Referências
- ↑ Palmer, Danny (25 de Outubro de 2017). «Bad Rabbit: Ten things you need to know about the latest ransomware outbreak». ZDNet. Consultado em 2 de Dezembro de 2019
- ↑ a b c d e Vigliarolo, Brandon (26 de Outubro de 2017). «Bad Rabbit: A new Petya-like ransomware that's spreading, but beatable». TechRepublic. Consultado em 3 de Dezembro de 2019
- ↑ a b c Lopes, Petter (25 de Outubro de 2017). «BAD RABBIT RANSOMWARE – VACINA, DISTRIBUIÇÃO, PREVENÇÃO E REMOÇÃO». Perícia Computacional. Consultado em 2 de Dezembro de 2019
- ↑ a b c d e f g h Larson, Selena (25 de Outubro de 2017). «New ransomware attack hits Russia and spreads around globe». CNN Business. Consultado em 2 de Dezembro de 2019
- ↑ Alves, Paulo (26 de Outubro de 2017). «Hackers do ransomware Not-Petya estão por trás do caso BadRabbit». TechTudo. Consultado em 2 de Dezembro de 2019
- ↑ a b «Bad Rabbit – What you need to know about this ransomware and its prevention?». Comodo Antivirus. 14 de Fevereiro de 2019. Consultado em 2 de Dezembro de 2019
- ↑ a b c d e f «Comparing WannaCry, NotPetya and Bad Rabbit». Malware Hunters. 7 de Novembro de 2017. Consultado em 3 de Dezembro de 2019
- ↑ a b Mimoso, Michael (26 de Outubro de 2017). «EternalRomance Exploit Found in Bad Rabbit Ransomware». Threatpost. Consultado em 3 de Dezembro de 2019
- ↑ Mamedov, Orkhan (24 de Outubro de 2017). «Bad Rabbit ransomware». SecureList. Consultado em 3 de Dezembro de 2019
- ↑ a b Donohue, Brian. «BadRabbit: Not All Ransomware Created Equal». The WatchTower. Consultado em 3 de Dezembro de 2019
- ↑ a b Hern, Alex (25 de Outubro de 2017). «Bad Rabbit: Game of Thrones-referencing ransomware hits Europe». The Guardian. Consultado em 2 de Dezembro de 2019