Primero fue WannaCry y luego Petya/NotPetya, ahora es el turno a Bad Rabbit el tercer gran ransomware en lo que va de año, que hace tambalear las infraestructuras de seguridad de todos los países aunque de momento ha empezado en casi 200 organizaciones de Rusia, Ucrania, Turquía y Alemania.

Bad Rabbit cifra todos los archivos, bloquea el disco duro con una clave RSA de 2048 bytes (un sistema de cifrado donde el usuario posee dos claves, una pública y otra privada conocida por el atacante) que solo será descifrada si pagamos el rescate; algo no del todo recomendable. Recuperar la información tiene un valor de 0,05 bitcoins; lo que al cambio son aproximadamente 287 dólares en Ecuador; que deben pagarse a través de una página en la Deep web, pero ésta ya no se encuentra disponible desde el miércoles 25 de octubre.

 

Propagación

Uno de los métodos de distribución de Bad Rabbit es un drive-by download. Algunos sitios populares son comprometidos usando la técnica watering hole, donde los sitios web modificados con propósitos maliciosos, mientras que los atacantes se encuentran a la espera de las potenciales víctimas y se les inyecta JavaScript en su HTML o en uno de sus archivos .js.

 

El ataque

Se efectuó en primera instancia a través de un sitio web, y a todos los usuarios que pasaban por esa página les aparecía un pop-up con un mensaje muy común: “Adobe Flash Player está desactualizado ¿Quieres actualizar?” Al dar clic en INSTALL o YES, se instalaba este código dañino.bad rabbit screenObservaciones

Tras analizar el malware de forma más exhaustiva detectaron evidencias que tiene implementado ETERNALROMANCE, un exploit que sirve para propagación mediante el protocolo SMB. ¿Por qué ETERNALROMANCE no fue detectado en un principio? fue debido a que Bad Rabbit no implementa una versión vanilla (una versión más pura del mismo), sino que incorpora una versión modificada. Según los investigadores, su implementación resulta diferente a la incluida en NotPetya, a pesar de guardar todavía similitudes con el material original de la NSA.

Se presume que los autores de Bad Rabbit son los mismos involucrados de NotPetya, pudiéndose tratar de TeleBots, un grupo de ciberespías con posibles vínculos al Gobierno de Rusia.

 

Recomendaciones:

  1. Actualizar los sistemas operativos (parches) y los sistemas de seguridad (firewall, waf)
  2. Evitar que los usuarios tengan los privilegios de la máquina (políticas de grupo en el active directory)
  3. Aislar las computadoras infectadas (network isolation)
  4. Bloquear las ventanas emergentes

https://support.google.com/chrome/answer/95472?co=GENIE.Platform%3DDesktop&hl=es-419

https://support.mozilla.org/es/kb/configuracion-excepciones-y-solucion-de-problemas-

  1. Capacitar a los usuarios en cómo evitar el riesgo de una posible pérdida de información.
  2. Realizar copias de seguridad de información importante.

 

Eliminar Bad Rabbit

Se puede intentar eliminar este virus con las siguientes maneras:

  • Método 1. Ejecutar software antivirus para escanear y eliminar el virus.
  • Método 2. Restaurar el sistema a un punto de estado anterior a la infección de Bad Rabbit.
  • Método 3. Eliminar manualmente los datos y archivos relacionados con Bad Rabbit

 

Pruebas de concepto (POC)

Laboratorio:

https://backtrackacademy.com/articulo/explotando-windows-2016-con-eternalromance-synergy-nsa

https://www.ihacklabs.com/en/poc-eternalromance-smbtouch-and-doublepulsar-in-kali-2017-1-exploiting-smb-service-windows-2003-sp1/

Por Santiago Pulgar