News

Un conejo malo extorsiona a los internautas tomando como modelo al ransomware NotPetya

Europa ha sido víctima de un nuevo ataque de ransomware que activó las alarmas entre los expertos en seguridad por su similitud con NotPetya, el programa chantajista que causó pérdidas de cientos de millones de dólares en junio. El nuevo programa malicioso ha recibido el nombre de Bad Rabbit (Conejo Malo) y se ha estado esparciendo principalmente en el este de Europa.

Como la mayoría de los programas chantajistas, Bad Rabbit amasa su fortuna irrumpiendo en sistemas ajenos y cifrando el contenido de los equipos para obligar a sus dueños a que le paguen un rescate. Los atacantes exigen un pago de 0,05 bitcoins, o alrededor de 280 dólares, para entregar al dueño del equipo la llave de descifrado que le devolvería el acceso a sus datos. Por supuesto, realizar el pago no es ninguna garantía de que los criminales van a cumplir con su palabra.

El mensaje pidiendo dinero está redactado de forma similar al que NotPetya enviaba a sus víctimas, lo que reforzó las sospechas de que podrían estar relacionados. Otra similitud entre ambos programas es que usan una versión personalizada de la herramienta para recuperar contraseñas Mimikatz y la red SMB para propagarse entre los equipos de una misma red. En total, los programas comparten un 67% del código, aunque esto no es ninguna garantía de que el mismo grupo sea responsable de ambos ataques.

Sin embargo, Bad Rabbit no usa EternalBlue, el exploit creado por la NSA que utilizaba NotPetya para atacar a  sus víctimas. En su lugar utiliza descargas de contraseñas y una lista de contraseñas comunes para esparcirse entre equipos con Windows.

Los atacantes comprometieron varios sitios conocidos para difundir la amenaza. Los usuarios descargaban el programa malicioso creyendo que estaban instalando Flash Player; después se los dirigía al sitio infectado con una descarga drive-by. Entre los sitios comprometidos se encontraban conocidos sitios de noticias y de farándula de Rusia. Una vez que Bad Rabbit irrumpía en la red, se multiplicaba y expandía con funcionalidades de gusano.

El ataque todavía no está muy expandido geográficamente: se ha detectado un 65% de los ataques en Rusia y un 12,2% en Ucrania. El resto de los ataques se encontró en otros países del este europeo, además de Turquía y Japón.

Los servidores que los atacantes usaban para llevar a cabo el ataque se eliminaron de la red sólo seis horas después de que el programa chantajista comenzara a difundirse. De este modo se controló la amenaza incluso antes de que lograra cruzar al continente americano.

Fuentes

Hop on, Average Rabbit: Latest extortionware menace flopped The Register

Bad Rabbit: Game of Thrones-referencing ransomware hits Europe The Guardian

Bad Rabbit used NSA “EternalRomance” exploit to spread, researchers say Ars Technica

Un conejo malo extorsiona a los internautas tomando como modelo al ransomware NotPetya

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada