Sophos, firma especializada en ciberseguridad, informó que organizaciones en Rusia y Ucrania fueron atacadas por Bad Rabbit, una variedad de ransomware con similitudes a NotPetya.
El brote se extendió a Europa, incluyendo a Turquía y Alemania. Las víctimas que han sido reportadas hasta el momento incluyen aeropuertos, estaciones de tren y agencias de noticias.
La agencia de noticias Interfax de Rusia confirmó, a través de twitter, que el ataque había derribado a algunos de sus servidores, lo que los obligó a ocupar su cuenta de Facebook para dar las noticias
Inicio del ataque
El ataque de Bad Rabbit parece haber comenzado a través de archivos en sitios web de medios rusos atacados, usando un falso instalador de Adobe Flash.
"Aunque parece que el brote de BAD Rabbit comenzó en Rusia, el malware que se propaga a través de las redes rara vez respeta las fronteras internacionales. La recomendación es que, incluso si aún no ha oído hablar de del malware, tome precauciones, protéjase de los ladrones y asegúrese de no ser el primero en su ciudad en ser atacado", dijo Paul Ducklin, tecnólogo senior de Sophos.
Si Bad Rabbit infecta su computadora, intenta programarse a través de la red utilizando una lista de nombres de usuario y contraseñas incrustados dentro del malware. En la imagen podrá ver una lista de nombres de usuarios y contraseñas que utiliza Bad Rabbit. (Un recordatorio, es que todas sus contraseñas deberán ser fuertes o seguras, incluso las que usa detrás de la seguridad de un firewall corporativo).
A partir de ahí, el ransomware encripta sus archivos, agregando “encryted” al final de cada nombre de archivo y también el MBR (Master Boot Record) de su computadora. Envía un mensaje con un saludo y solicita que envíe el pago a través de un servicio oculto Tor (un sitio de la Dark Web anónimo):
Oops! Tus archivos han sido encriptados
Si ve este texto, sus archivos ya no son accesibles.
Es posible que haya estado buscando una forma de recuperar sus archivos.
No pierdas tu tiempo. Nadie podrá recuperarlos sin nuestro servicio de descifrado.
Le garantizamos que puede recuperar todos sus archivos de forma segura.
Todo lo que necesita hacer es enviar el pago y obtener el contraseña de descifrado
Visite nuestro servicio web…
Si visita el sitio web de Bad Rabbit utilizando el navegador Tor, se le “invitará” a pagar una tarifa por la clave de descifrado; en el momento de escribir [2017-10-25T16:45Z] Los ladrones exigían XBT 0.05 (1/20th of a Bitcoin), actualmente cerca de $280.
Medidas de protección
Actualmente Sophos bloquea el ataque de BAD Rabbit como Troj/Ransom-ERK
Adicionalmente, Sophos Intercept X previene de manera proactiva que el malware ataque sus datos: CryptoGuard evita que el ransomware revuelva sus archivos, y WipeGuard impide las grabaciones de bajo nivel del disco que modifican el sector de arranque.
Aquí hay algunos consejos generales para defenderse contra este tipo de ataque: