Um novo surto de ransomware atingiu nesta quarta algumas grandes infra-estruturas na Ucrânia, incluindo o metrô de Kiev, e outros países da Europa..
O ransomware, chamado de Bad Rabbit, utiliza javascript malicioso escondido em páginas web para baixar o código, disfarçado de atualização do Adobe Flash Player, e infectar o usuário.
Os países mais afetados nesta quarta feira foram:
- Russia: 65%
- Ukraine: 12.2%
- Bulgaria: 10.2%
- Turkey: 6.4%
- Japan: 3.8%
Ainda não tivemos notícias de infecções no Brasil.
O Adobe Flash é um dos produtos mais distribuídos na Internet. Por sua popularidade e base de instalação global, muitas vezes é alvo de cibercriminosos. Os cibercriminosos estão usando métodos de engenharia social para distribuir seu malware através de falsos sites de atualização do Flash, muitas vezes atraindo usuários desavisados, que podem precisar de uma atualização de software, para instalar inconscientemente programas maliciosos.
O novo ransomware, chamado de bad rabbit, aproveita-se desta situação para disseminar seu código e infectar milhares de usuários em todo o mundo.
Um dos métodos de distribuição de Bad Rabbit é via drive-by download. Alguns sites populares estão comprometidos e têm injetado JavaScript em seu corpo HTML ou em um de seus arquivos .js.
Uma vez que o usuário acesse o site infectado, a lógica do lado do servidor pode determinar se o visitante é de interesse e, em seguida, adicionar conteúdo à página. Nesse caso, o um popup pedindo para baixar uma atualização para o Flash Player é mostrado no meio da página.
Msg JavaScript apresentada pelo código malicioso
Ao clicar no botão “Instalar”, o download de um arquivo executável de 1dnscontrol [.] Com é iniciado. Este arquivo executável, install_flash_player.exe é a ligação para baixar e instalar o arquivo Win32 / Diskcoder.D, que infecta e bloqueia o computador mostrando a página de resgate.
Diskcoder.D ransom screen
Diskcoder.D ransom screen
Win32 / Diskcoder.D tem a capacidade de se espalhar via SMB. Mas, não usa a vulnerabilidade EthernalBlue, como o ransomware Petya. Primeiro, examina a rede interna para compartilhamentos abertos de SMB e procura as seguintes compartilhamentos:
- dmin
- atsvc
- browser
- eventlog
- lsarpc
- netlogon
- ntsvcs
- spoolss
- samr
- srvsvc
- scerpc
- svcctl
- wkssvc
O Bad Rabbit também procura pelas seguintes credenciais do usuário:
fonte: welivesecurity
O ransomware usa o DiskCriptor, software open source, e utiliza criptografia AES-128-CBC .
Remediação
Para evitar a infecção recomenda-se manter atualizado o anti-vírus e ativar a proteção de navegação segura, quando disponível, para que o código malicioso possa ser identificado e inoculado.
O software de proteção de email da Proofpoint possui funcionalidade de Target Attack Protecion que verifica em real time a URL recebida nos emails antes de entregar na caixa do usuário e compartilha uma sandbox mundial da empresa onde tem registrados todos os sites identificados como infectados.
A proteção do Proofpoint não para por aí. Mesmo que no instante de chegado do email a URL esteja “limpa”, o sistema reescreve a URL em background antes de entregar na caixa de email do usuário, com isto quandoi o usua´rio clicar, mesmo após alguns dias, a URL reescrita forçará o usuário a passar novamente pelos servidores do sistema de proteção para verificar novamente se a URL está agora infectada. Se caso positivo, o sistema abortará a navegação e não permitirá que o usuário acesse a página, caso contrário o usuário será direcionado à URL original recebida.
Para saber mais do sistema de proteção Proofpoint click aqui para contactar o representante MindSec autorizado.
Veja também
Ransomware Locky Explora Novo Vetor de Ataque pelo Microsoft Word
RedBoot – Novo Ransomware destrói a MBR e a Tabela de Partições
Ransomware: O que é? Como se proteger?
PornHub é Infectado pelo Malware Kovter
76% dos Ransomwares Atacam via eMail
Por MindSec 26/10/2017
Deixe sua opinião!