Bad Rabbit (malware)

Origem: Wikipédia, a enciclopédia livre.
Saltar para a navegação Saltar para a pesquisa
Bad Rabbit (malware)
Lançamento 24 de Outubro de 2017
Sistema operacional Microsoft Windows
Gênero(s) Ransomware

Bad Rabbit ("Coelho Malvado" em inglês) é o nome dado a uma forma de ransomware encriptador descoberto inicialmente no ano 2017. O programa em questão invade a rede de usuários através de um executável, encripta seus dados, e em seguida demanda um depósito de 0,05 bitcoins (cerca de R$1500 em 12 de Dezembro de 2019) para enviar a chave virtual para reverter o processo.[1]

O nome 'Bad Rabbit' origina do cabeçalho no site que o ransomware direciona suas vítimas, mas o nome real desta nova versão de malware é Diskcoder.d, também responsável pelo surto do vírus Petya, que afetou países como Rússia e Ucrânia mais cedo em 2017.[2]

O malware em questão foi parte de um ataque cibernético ocorrido em Outubro de 2017 que afetou primariamente a Rússia e Ucrânia, embora haja relatos de ataques em menor escala na Alemanha, Turquia, Bulgária e Japão, reportado por pesquisadores do Kaspersky Lab.[3][4]

De acordo com especialistas em cibercrime, o Malware possui muitas semelhanças estruturais com o vírus Petya e WannaCry, embora haja diferenças em como ele se espalha e reproduz. De acordo com os especialistas trabalhando para companhias de segurança digital Kaspersky e ESET, os indivíduos responsáveis pelo Petya podem também ter envolvimento com a criação do Bad Rabbit.[5] Também há confirmação por parte de Kaspersky Labs que a estrutura entre os dois programas é bastante similar, ambos tendo usado métodos parecidos para infectar redes corporativas.[4]

Funcionamento[editar | editar código-fonte]

Infecção[editar | editar código-fonte]

Uma das formas mais comuns que Bad Rabbit utiliza para invadir uma determinada rede através de uma requisição falsa de atualização do Adobe Flash em sites de notícia comprometidos, onde visitantes das páginas são enganados e voluntariamente instalam o vírus.[4] Também pode se espalhar através de força bruta, dando palpites de senhas mais comuns para obter direitos de administrador no sistema.[6][7]

A exploit utilizada para a brecha de sistema foi eventualmente descoberta por pesquisadores da Cisco como sendo uma versão alterada da EternalRomance, dissolvendo as alegações prévias durante o ataque de que nem EternalRomance ou EternalBlue eram componentes do protocolo do Bad Rabbit.[8]

Após contaminar um computador, o Malware utiliza uma ferramenta conhecida como Mimikatz[7], e com isso extrai credenciais do usuário como Admin, Guest, User, root, entre outros. Com essa estratégia, o programa é capaz de se disseminar lateralmente para computadores da mesma rede, pondo em risco a rede inteira após apenas uma brecha de segurança.[4]

Encriptação[editar | editar código-fonte]

Bad Rabbit também é capaz de utilizar um programa legítimo chamado DiskCryptor para encriptar as informações da vítima.[6][7]

Logo em seguida, o computador do usuário é reiniciado com uma mensagem entitulada "Oops! Your files have been encrypted", onde a vítima é redirecionada a uma página da rede TOR exibindo o seguinte texto[3]:

BAD RABBIT

If you access this page your computer has been encrypted. Enter the appeared personal key in the field below. If succeed, you’ll be provided with a bitcoin account to transfer payment. The current price is on the right.

Once we receive your payment you’ll get a password to decrypt your data. To verify your payment and check the given passwords enter your assigned bitcoin address or your personal key.

Time left before the price goes up

36-25-48

Price for decryption:

฿ 0.05

Especialistas e agentes do governo recomendam que não se pague a quantia, visto que não há nenhuma garantia que os arquivos serão restaurados.[4]

Impacto[editar | editar código-fonte]

Numa terça-feira, 24 de Outubro, relatos começaram a surgir ao redor da Europa que tinha sido descoberto uma nova forma de ransomware, agora conhecido como BadRabbit. Os primeiros alvos foram grandes organizações na Rússia e Ucrânia, como o Ministro Ucraniano de Infraestutura, o Aeroporto de Odessa, o sistema público de transporte em Kiev e os sites de notícias russos Interfax e Fontanka.

A maioria das vítimas do malware são localizadas na Rússia e Ucrânia, embora ataques também tenham sido reportados na Turquia, Alemanha, com a firma de segurança digital ESET reportando indícios de contaminação do BadRabbit em regiões do Japão e Bulgária.[4]

O ataque durou até meio-dia, embora ataques recorrentes foram detectados em 19:55 seguindo o horário de Moscow. De acordo com estatísticas da KSN, quase 200 sistemas foram afetados pelo vírus.[9]

Semelhanças e diferenças com Petya/WannaCry[editar | editar código-fonte]

Muitos membros indústria de computação fizeram comparações entre o BadRabbit com as ameaças globais WannaCry e Petya, embora ainda haja diferenças contrastantes entre os três, os mesmos também possuem várias semelhanças.[10]

Começando por semelhanças mais básicas, todos os incidentes envolvem ransomwares de encriptação, e dependem em parte de exploits vazadas pelo Equation Group.[10] Inicialmente durante o ataque, era suspeitado que o BadRabbit utilizava a mesma exploit atribuída ao Petya (EternalBlue), embora tenha sido eventualmente confirmado que uma versão modificada do EternalRomance era usada.

WannaCry Petya Bad Rabbit
Conhecido como WannaCry2.0, WannaCrypt0r, WannaCrypt, WCrypt, WCRY ExPetr, PetWrap, NotPetya, Nyetya, Petna Bad Rabbit
Data de lançamento 12 de Maio de 2017 28 de Junho de 2017 24 de Outubro de 2017
Países mais afetados UK, RU, UKR, IN, TW UKR, DE, TR, BG, JPN, US UKR, RU, BG, TR, JPN[4]
Firmas mais afetadas NHS UK, Telefonica Spain, FedEx, Deutsche Bahn, Nissan, Iberdrola e Gas Natural, todos caixas eletrônicos da Índia, VTB RU Bank, Universidade de Waterloo, RZD RU, Portugal Telecom, etc. Maersk Group; Maerk Line, APM Terminals e Damco, Saint-Gobain, Mondelez International, Merck & Co., WP, Evraz and Rosneft, DLA Piper, Heritage Valley Health System, etc. Metrô ucraniano, Aeroporto de Odessa, Interfax, Fontanka.ru
Setores mais afetados Telecoms, universidades, energia e gás, sistemas públicos, bancos, transporte, setores públicos, automotivos, imprensa Transporte, telecoms, energia, sistemas públicos, aço e óleo, legal, farmacêutico, imprensa Imprensa, transporte
Especulação de Finalidade Financeiro Destruição/disrupção Destruição/disrupção
Vetor de infecção Campanhas maliciosas de spam de e-mails Campanhas maliciosas de spam de e-mails, ataques cibernéticos na MeDoc (companhia ucraniana) utilizando atualizações para instalar malware Servidores originais para enviar malware (após queda de aproximadas 6 horas), sites comprometidos (drive-by download)
Vulnerabilidades EternalBlue, DoublePulsar, injeção shellcode EternalRomance, EternalBlue similar a EternalRomance, exceto sem utilizar DoublePulsar ou shellcode[8]
Nomes de arquivos @WanaDecryptor@.exe, b.wnry, c.wnry, r.wnry, s.wnry, t.wnry, u.wnry, taskdl.exe, taskdl.exe, taskse.exe, taskhsvc.exe perfc.dat infpub.dat, cscc.dat
Enumeração Portas 139, 445, 3389 Portas 139, 445 e enumeração de disco para MFT/MBR Apenas enumeração de portas em 139, 445 para acesso de escrita. Sem enumeração de disco até escrever em MFT,UPnP
Método de obtenção de credenciais Mimikatz (alterado) Mimikatz (alterado) Mimikatz (alterado)[4], lista de credenciais predefinidas no sistema
Movimento lateral/espalhamento EternalBlue, SMBv1, DoublePulsar EternalRomance, EternalBlue, SMBv1, SMB/NetBIOS, PsExec e WMIC (caso SMB falhe) zzz_exploit, SMB/NetBIOS, SVCCTL (também conhecido como SCMR), WMIC (caso SMB falhe)
Força o computador a reiniciar Não Sim Sim
Cria serviço Sim em caso de falha de conexão, através de SMB Não Sim (Windows Client Side Caching DDriver)
Mecanismos de persistência e uso de tarefas agendadas Sim Sim Sim
Deleta registros de eventos Não Sim (através de 'wevutil' e 'fsutil') Sim (através de 'wevutil' e 'fsutil')
Encripta arquivos Sim Sim Sim
Algoritmo de Encriptação AES-128 modo CBC, RSA-2048 AES-128 modo CBC, RSA-2048 AES-128 modo CBC, RSA-2048
Kernel bootloader Nenhum Modified Petya bootloader Custom bootloader e DiskCryptor
Encripta/modifica MBR Não Sim (instalado no início do MBR) Sim (instalado no fim do MBR)
Encripta/modifica MFT Não Sim (Salsa20) Sim (AES-256-XTS)
Utilização de rede TOR para pagamento Sim Sim Sim[3]
Endereços bitcoin
  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
  • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
  • 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
  • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Mensagem CHKDSK falsa Não Sim Não
Demanda ransomware ฿0.05 a ฿0.09 ฿0.05 ฿0.05
Número de tipos/extensões de arquivos alvejadas 184 62 113
Possibilidade de Decriptação Sim Não Possivelmente
Referências a personagens, etc Não Não Sim (Game of Thrones, Hackers)

[7]

Como se proteger[editar | editar código-fonte]

  • BadRabbit precisa ser manualmente instalado através de uma atualização contaminada do Adobe Flash. Se o seu anti-vírus detectar o malware, ou o usuário simplesmente não instalar o arquivo, o malware é incapaz de funcionar.[2]
  • Vários produtos de segurança, como o ESET e Kaspersky, alegam proteger o usuário do vírus. É recomendado que os usuários rodando qualquer antivírus procure saber se a sua versão alega proteção contra o BadRabbit, e que se esteja instalada a versão mais atual do mesmo.[2]
  • Os arquivos utilizados pelo BadRabbit para funcionar são conhecidos, são chamados infpub.dat e cscc.dat, ambos se encontrando no diretório Windows no drive C:.[2]
  • Certifique que suas atualizações do Windows Security estão em dia, pois o método de propagação do BadRabbit foi inviabilizado pelo mesmo em 2017.[2]

Trivia[editar | editar código-fonte]

  • O código do malware está repleto de referências culturais modernas. Por exemplo, no meio do código, está citado o nome de dois dragões que aparecem no show da HBO, Game Of Thrones.[7][11]
  • O programa também se espalha testando senhas mais comuns, dentre elas: love, sex, god e secret, que foram consideradas as "quatro senhas mais comuns" no filme Hackers, de 1995.[7][11]

Referências

  1. Palmer, Danny (25 de Outubro de 2017). «Bad Rabbit: Ten things you need to know about the latest ransomware outbreak». ZDNet. Consultado em 2 de Dezembro de 2019 
  2. a b c d e Vigliarolo, Brandon (26 de Outubro de 2017). «Bad Rabbit: A new Petya-like ransomware that's spreading, but beatable». TechRepublic. Consultado em 3 de Dezembro de 2019 
  3. a b c Lopes, Petter (25 de Outubro de 2017). «BAD RABBIT RANSOMWARE – VACINA, DISTRIBUIÇÃO, PREVENÇÃO E REMOÇÃO». Perícia Computacional. Consultado em 2 de Dezembro de 2019 
  4. a b c d e f g h Larson, Selena (25 de Outubro de 2017). «New ransomware attack hits Russia and spreads around globe». CNN Business. Consultado em 2 de Dezembro de 2019 
  5. Alves, Paulo (26 de Outubro de 2017). «Hackers do ransomware Not-Petya estão por trás do caso BadRabbit». TechTudo. Consultado em 2 de Dezembro de 2019 
  6. a b «Bad Rabbit – What you need to know about this ransomware and its prevention?». Comodo Antivirus. 14 de Fevereiro de 2019. Consultado em 2 de Dezembro de 2019 
  7. a b c d e f «Comparing WannaCry, NotPetya and Bad Rabbit». Malware Hunters. 7 de Novembro de 2017. Consultado em 3 de Dezembro de 2019 
  8. a b Mimoso, Michael (26 de Outubro de 2017). «EternalRomance Exploit Found in Bad Rabbit Ransomware». Threatpost. Consultado em 3 de Dezembro de 2019 
  9. Mamedov, Orkhan (24 de Outubro de 2017 (atualizado em 27 de Outubro de 2017)). «Bad Rabbit ransomware». SecureList. Consultado em 3 de Dezembro de 2019  Verifique data em: |data= (ajuda)
  10. a b Donohue, Brian. «BadRabbit: Not All Ransomware Created Equal». The WatchTower. Consultado em 3 de Dezembro de 2019 
  11. a b Hern, Alex (25 de Outubro de 2017). «Bad Rabbit: Game of Thrones-referencing ransomware hits Europe». The Guardian. Consultado em 2 de Dezembro de 2019