Novo surto de Ransomware preocupa o Mundo!

Bad Rabbit busca por senhas conhecidas e encripta o disco pedindo resgate!

Um novo surto de ransomware atingiu nesta quarta algumas grandes infra-estruturas na Ucrânia, incluindo o metrô de Kiev, e outros países da Europa..

O ransomware, chamado de Bad Rabbit, utiliza javascript malicioso escondido em páginas web para baixar o código, disfarçado de atualização do Adobe Flash Player, e infectar o usuário.

Os países mais afetados nesta quarta feira foram:

  • Russia: 65%
  • Ukraine: 12.2%
  • Bulgaria: 10.2%
  • Turkey: 6.4%
  • Japan: 3.8%

Ainda não tivemos notícias de infecções no Brasil.

O Adobe Flash é um dos produtos mais distribuídos na Internet. Por sua popularidade e base de instalação global, muitas vezes é alvo de cibercriminosos. Os cibercriminosos estão usando métodos de engenharia social para distribuir seu malware através de falsos sites de atualização do Flash, muitas vezes atraindo usuários desavisados, que podem precisar de uma atualização de software, para instalar inconscientemente programas maliciosos.

O novo ransomware, chamado de bad rabbit, aproveita-se desta situação para disseminar seu código e infectar milhares de usuários em todo o mundo.

Um dos métodos de distribuição de Bad Rabbit é via drive-by download. Alguns sites populares estão comprometidos e têm injetado JavaScript em seu corpo HTML ou em um de seus arquivos .js.

Uma vez que o usuário acesse o site infectado, a lógica do lado do servidor pode determinar se o visitante é de interesse e, em seguida, adicionar conteúdo à página. Nesse caso, o um popup pedindo para baixar uma atualização para o Flash Player é mostrado no meio da página.

Msg JavaScript apresentada pelo código malicioso

Ao clicar no botão “Instalar”, o download de um arquivo executável de 1dnscontrol [.] Com é iniciado. Este arquivo executável, install_flash_player.exe é a ligação para baixar e instalar o arquivo Win32 / Diskcoder.D, que infecta e bloqueia o computador mostrando a página de resgate.

Diskcoder.D ransom screen

Diskcoder.D ransom screen

Win32 / Diskcoder.D tem a capacidade de se espalhar via SMB. Mas, não usa a vulnerabilidade EthernalBlue, como o ransomware Petya. Primeiro, examina a rede interna para compartilhamentos abertos de SMB e procura as seguintes compartilhamentos:

  • dmin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spoolss
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

O Bad Rabbit também procura pelas seguintes credenciais do usuário:

fonte: welivesecurity

O ransomware usa o DiskCriptor, software open source, e utiliza criptografia AES-128-CBC .

 

Remediação

Para evitar a infecção recomenda-se manter atualizado o anti-vírus e ativar a proteção de navegação segura, quando disponível, para que o código malicioso possa ser identificado e inoculado.

O software de proteção de email da Proofpoint possui funcionalidade de Target Attack Protecion  que verifica em real time a URL recebida nos emails antes de entregar na caixa do usuário e compartilha uma sandbox mundial da empresa onde tem registrados todos os sites identificados como infectados.

A proteção do Proofpoint não para por aí.  Mesmo que no instante de chegado do email a URL esteja “limpa”, o sistema reescreve a URL em background antes de entregar na caixa de email do usuário, com isto quandoi o usua´rio clicar, mesmo após alguns dias, a URL reescrita forçará o usuário a passar novamente pelos servidores do sistema de proteção para verificar novamente se a URL está agora infectada. Se caso positivo, o sistema abortará a navegação e não permitirá que o usuário acesse a página, caso contrário o usuário será direcionado à URL original recebida.

Para saber mais do sistema de proteção Proofpoint click aqui para contactar o representante MindSec autorizado.

 

Veja também

Ransomware Locky Explora Novo Vetor de Ataque pelo Microsoft Word

RedBoot – Novo Ransomware destrói a MBR e a Tabela de Partições

Ransomware: O que é? Como se proteger?

PornHub é Infectado pelo Malware Kovter

76% dos Ransomwares Atacam via eMail

O Fator Humano na Segurança

 

Por MindSec  26/10/2017
About mindsecblog 317 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.