Una nueva mutación del ramsomware NotPetya, se dio a conocer ayer por la tarde. El mismo tiene por nombre BadRabbit; contando con muchos elementos similares a NotPetya. Y esta atacando varios países de Europa y Asia, al menos hasta el momento (Fuente ESET Latam).

  • De alguna manera podemos creer que los autores de BadRabbit, pueden ser los mismos de Petya. 

La diferencia esta vez radica en el cifrado se ha sustituido por una herramienta más avanzada, con lo cual quieren eliminar las posibilidades de una solución entre los usuarios.

Uno de los métodos de distribución que utiliza Bad Rabbit es un drive-by download. El cual podemos encontrar en algunos sitios web populares; comprometidos utilizando la técnica watering hole, donde el atacante haya inyectado JavaScript en su HTML o en uno de sus archivos .js.

De esta manera nos damos cuenta que podemos contagiar nuestros equipos solamente con navegar en un sitio web infectado, cuando accedemos a contenidos en JavaScript y Flash. No hace falta decir lo peligroso que se torna el ambiente.

Y lo mas peligroso es lo que este malware puede hacer en nuestra infraestructura de datos.

Propagación vía SMB
Win32/Diskcoder.D tiene la habilidad de propagarse a través del protocolo Server Message Block (SMB). A diferencia de algunos reportes que han estado circulando, no explota la vulnerabilidad EternalBlue como era el caso en el brote de Win32/Diskcoder.C (Not-Petya).

Cifrado
Win32/Diskcoder.D es una versión modificada de Win32/Diskcoder.C, para la que se corrigieron algunos bugs en el cifrado de archivos. Ahora usa DiskCryptor, un software open source legítimo usado para hacer cifrado de unidades completas.

Las claves se generan usando CryptGenRandom y luego se protegen con una clave pública RSA 2048 hardcodeada. Los archivos cifrados tienen la extensión .encrypted. Al igual que antes, se usa AES-128-CBC.

Distribución
La telemetría de ESET muestra que Ucrania solo tiene el 12,2% del total de casos en que vimos el dropper. Estas son las estadísticas:

Rusia: 65%
Ucrania: 12.2%
Bulgaria: 10.2%
Turquía: 6.4%
Japón: 3.8%
Otros: 2.4%

Esto coincide bastante con la distribución de sitios comprometidos que incluyen el JavaScript malicioso. Entonces, ¿por qué Ucrania parece ser más atacada que el resto?

Es interesante señalar que todos los blancos fueron atacados al mismo tiempo. Es posible que el grupo ya tuviese un pie adentro de sus redes y ejecutase el ataque watering hole en simultáneo como señuelo. Nada indica que hayan caído por la falsa actualización de Flash.

Anuncios