Un conejo malo extorsiona a los internautas tomando como modelo al ransomware NotPetya

Europa ha sido víctima de un nuevo ataque de ransomware que activó las alarmas entre los expertos en seguridad por su similitud con NotPetya, el programa chantajista que causó pérdidas de cientos de millones de dólares en junio. El nuevo programa malicioso ha recibido el nombre de Bad Rabbit (Conejo Malo) y se ha estado esparciendo principalmente en el este de Europa.

Como la mayoría de los programas chantajistas, Bad Rabbit amasa su fortuna irrumpiendo en sistemas ajenos y cifrando el contenido de los equipos para obligar a sus dueños a que le paguen un rescate. Los atacantes exigen un pago de 0,05 bitcoins, o alrededor de 280 dólares, para entregar al dueño del equipo la llave de descifrado que le devolvería el acceso a sus datos. Por supuesto, realizar el pago no es ninguna garantía de que los criminales van a cumplir con su palabra.

El mensaje pidiendo dinero está redactado de forma similar al que NotPetya enviaba a sus víctimas, lo que reforzó las sospechas de que podrían estar relacionados. Otra similitud entre ambos programas es que usan una versión personalizada de la herramienta para recuperar contraseñas Mimikatz y la red SMB para propagarse entre los equipos de una misma red. En total, los programas comparten un 67% del código, aunque esto no es ninguna garantía de que el mismo grupo sea responsable de ambos ataques.

Sin embargo, Bad Rabbit no usa EternalBlue, el exploit creado por la NSA que utilizaba NotPetya para atacar a  sus víctimas. En su lugar utiliza descargas de contraseñas y una lista de contraseñas comunes para esparcirse entre equipos con Windows.

Los atacantes comprometieron varios sitios conocidos para difundir la amenaza. Los usuarios descargaban el programa malicioso creyendo que estaban instalando Flash Player; después se los dirigía al sitio infectado con una descarga drive-by. Entre los sitios comprometidos se encontraban conocidos sitios de noticias y de farándula de Rusia. Una vez que Bad Rabbit irrumpía en la red, se multiplicaba y expandía con funcionalidades de gusano.

El ataque todavía no está muy expandido geográficamente: se ha detectado un 65% de los ataques en Rusia y un 12,2% en Ucrania. El resto de los ataques se encontró en otros países del este europeo, además de Turquía y Japón.

Los servidores que los atacantes usaban para llevar a cabo el ataque se eliminaron de la red sólo seis horas después de que el programa chantajista comenzara a difundirse. De este modo se controló la amenaza incluso antes de que lograra cruzar al continente americano.

Fuentes

Hop on, Average Rabbit: Latest extortionware menace flopped The Register

Bad Rabbit: Game of Thrones-referencing ransomware hits Europe The Guardian

Bad Rabbit used NSA “EternalRomance” exploit to spread, researchers say Ars Technica