Este 24 de octubre se registrรณ un nuevo ataque masivo de ransomware llamado โBad Rabbitโ (Conejo Malo), similar a NotPetya, que pide rescate en bitcoins y que fue dirigido sobre todo a medios de comunicaciรณn y otras entidades en Rusia.
La informaciรณn se supo recientemente a travรฉs de una publicaciรณn de la firma de seguridadย Kaspersky y otros medios locales e internacionales. El ataque afectรณ mรกs que todo a sistemas corporativos, al sistema de metro de Kiev y el aeropuerto de Odessa, junto a algunos medios de comunicaciรณn y pรกginas de noticias del paรญs, como la organizaciรณn Interfax, y algunas partes de Alemania, Ucrania y Turquรญa; que en total suman alrededor de 200 objetivos.
El malware Bad Rabbit encripta los datos y archivos de las mรกquinas infectadas y exige un rescate de 0,05 bitcoins (alrededor de 286.20 dรณlares al momento), para proporcionar la clave que desencripta los datos. De hecho, Interfax tuvo que comunicar el suceso por Facebook ya que sus servidores habรญan sido desconectados momentรกneamente con el ataque.
El ransomwareย estรก siendo esparcido a travรฉs de una actualizaciรณn falsa de Adobe Flash, que fue colocada en unos tres medios de comunicaciรณn rusos que fueron hackeados. Dicha actualizaciรณn, un archivo que lleva por nombre โinstall_flash_player.exeโ, no usa ningรบn exploit de software para acceder al ordenador, sino que se basa en convencer al usuario de abrirlo y ejecutarlo รฉl mismo. Luego de ser ejecutado manualmente, se guardarรก como โC:\Windows\infpub.datโ y se lanzarรก usando rundll32, creando una tarea para ejecutarlo con el archivo โdispci.exeโ en C:\Windows.
En el texto de rescate, tambiรฉn se incluye una clave de instalaciรณn, y se pide a la vรญctima que ingrese a al servicio web .onion de los hackers, al que se accede sรณlo a travรฉs de exploradores como Tor.
Asimismo, segรบn la firma de seguridad, resalta que este malware utiliza tanto el mรฉtodo de infecciรณn y encriptaciรณn, como el mensaje de rescate, de forma similar al reciente ataque con el malware NotPetya.ย Kaspersky tambiรฉn enlaza a Bad Rabbit con NotPetya porque los servidores y sitios web inicialmente vinculados a NotPetya ahora se usaban como canales de distribuciรณn para Bad Rabbit.
Aunque los dos malwares tienen destinos diferentes, pues Bad Rabbit se enfocรณ en el mundo corporativo, sobre todo en Rusia. Tambiรฉn se diferencian por su modo de distribuciรณn, ya en que el NotPetya utilizaba el exploit de Windows EternalBlue; y en que el Bad Rabbit busca tan sรณlo obtener la recompensa, pues los datos se desencriptan apenas se introduce la clave; al contrario de NotPetya que al parecer fue creado mรกs para destruir que para obtener el dinero.
Como dato curioso, el cรณdigo del ransomware Bad Rabbit utiliza algunos nombres de la popular serie televisiva Game of Thrones (Juego de Tronos), como Gusano Gris, el comandante del ejรฉrcito de Daenerys Targaryen, y los dragones Viserion y Drogon.
Recordemos que en agosto de este aรฑo se pudieron verificar las pรฉrdidas multimillonarias de empresas europeas tras el impacto del NotPetya y el WannaCry, el ransomware que se catalogรณ como el mรกs grande hasta ahora.
Finalmente, para prevenir la infecciรณn, Kaspersky recomienda activar todos los mecanismos de seguridadย del ordenador y actualizar el antivirus que se tenga, ademรกs de restringir la ejecuciรณn de archivos con las rutas โc:\windows\ infpub.datโ y โC:\Windows\cscc.datยป para impedir la instalaciรณn del malware.
