Ransomware Bad Rabbit também usou um exploit vazado da NSA para atacar. |
Um novo ransomware difundido, conhecido como "Bad Rabbit", que atingiu mais de 200 grandes organizações, principalmente na Rússia e na Ucrânia, esta semana aproveita um exploit da NSA roubado lançado pelos Shadow Brokers em abril para se espalhar pelas redes das vítimas.
Anteriormente, foi relatado que o surto de crypto-ransomware desta semana não usou explorações desenvolvidas pela Agência Nacional de Segurança, nem EternalRomance ou EternalBlue, mas um relatório recente da Talos Security Intelligence da Cisco revelou que o Ransomware Bad Rabbit usou o recurso EternalRomance.
NotPetya ransomware (também conhecido como ExPetr e Nyetya) que infectou dezenas de milhares de sistemas em junho também alavancou o recurso EternalRomance, juntamente com o vazamento da NSA, o vazamento do Windows EternalBlue, que foi usado no surto WannaCry.
Bad Rabbit usa EternalRomance SMB RCE Exploit
Bad Rabbit não usa o EternalBlue, mas aproveita o EternalRomance RCE para se espalhar pelas redes das vítimas. A Microsoft e a F-Secure também confirmaram a presença da exploração no Ransomware Bad Rabbit.
EternalRomance é uma das muitas ferramentas de hacking supostamente pertencentes à equipe de hackers de elite da NSA, chamada Equation Group, que foram filtradas pelo infame grupo de hackers que se chamava Shadow Brokers em abril deste ano.
EternalRomance é uma exploração remota de execução de código que tira proveito de uma falha (CVE-2017-0145) no Windows Server Message Block (SMB), um protocolo para transferir dados entre computadores conectados do Windows, para ignorar a segurança em conexões de compartilhamento de arquivos. permitindo a execução de código remoto em clientes e servidores Windows.
Junto com EternalChampion, EternalBlue, EternalSynergy e outras explorações NSA lançadas pelos Shadow Brokers, a vulnerabilidade EternalRomance também foi corrigida pela Microsoft neste março com o lançamento de um boletim de segurança ( MS17-010 ).
Bad Rabbit teria sido distribuído por meio de ataques de download por meio de sites de mídia russos comprometidos, usando o instalador do Adobe Flash para atrair as vítimas para instalar o malware involuntariamente e exigindo 0,05 bitcoins (US$ 285) das vítimas para desbloquear seus sistemas.
Como Bad Rabbit Ransomware se espalha em uma rede.
De acordo com os pesquisadores, Bad Rabbit primeiro verifica a rede interna para compartilhamentos abertos de SMB, tenta uma lista codificada de credenciais comumente usadas para descartar o malware, e também usa a ferramenta de pós-exploração Mimikatz para extrair credenciais dos sistemas afetados.
Bad Rabbit também pode explorar a interface de script de linha de comando da Instrução de Gerenciamento do Windows (WMIC) na tentativa de executar o código em outros sistemas Windows na rede remotamente, observou EndGame.
No entanto, de acordo com os Talos da Cisco, Bad Rabbit também carrega um código que usa o EternalRomance, o que permite que os hackers remotos se propagem de um computador infectado para outros destinos de forma mais eficiente.
"Podemos ter bastante confiança em que o BadRabbit inclui uma implementação EternalRomance usada para substituir o contexto de segurança de uma sessão do kernel para permitir o lançamento de serviços remotos, enquanto que em Nyetya foi usado para instalar o Backdoor DoublePulsar", escreveram pesquisadores da Talos.
"Ambas as ações são possíveis devido ao fato de que o EternalRomance permite que o invasor leia / escreva dados arbitrários no espaço de memória do kernel".
O mesmo grupo de hacking está atrás do "coelho ruim" e do NotPetya?
Uma vez que tanto o Bad Rabbit quanto o NotPetya usam o código comercial do DiskCryptor para criptografar o disco rígido da vítima e o código "wiper" que poderia apagar os discos rígidos conectados ao sistema infectado, os pesquisadores acreditam que é "altamente provável" que os atacantes por trás dos surtos do ransomware sejam mesmo.
"É altamente provável que o mesmo grupo de hackers estivesse atrás do ataque do Ransomware de BadRabbit em 25 de outubro de 2017 e a epidemia do vírus NotPetya, que atacou os setores de energia, telecomunicações e financeiros na Ucrânia em junho de 2017", a empresa de segurança russa Group Observou o IB.
"A pesquisa revelou que o código BadRabbit foi compilado a partir de fontes NotPetya. O BadRabbit possui as mesmas funções para computação de hashes, lógica de distribuição de rede e processo de remoção de logs, etc."
NotPetya já foi associado ao grupo de hacking russo conhecido como BlackEnergy e Sandworm Team, mas, como Bad Rabbit também está visando principalmente a Rússia, nem todos parecem convencidos com os pressupostos acima.
Como se proteger de ataques Ransomware?
Para se proteger de Bad Rabbit, os usuários são aconselhados a desativar o serviço WMI para evitar que o malware se espalhe pela sua rede.
Além disso, certifique-se de atualizar seus sistemas regularmente e manter um pacote de segurança antivírus bom e eficaz em seu sistema.
Uma vez que a maioria dos ransomware se espalham por e-mails de phishing, anúncios maliciosos em sites e aplicativos e programas de terceiros, você sempre deve ter cuidado antes de se mudar para qualquer um desses.
Mais importante ainda, ter sempre um aperto apertado em seus dados valiosos, manter uma boa rotina de backup no lugar que faz e salva cópias de seus arquivos em um dispositivo de armazenamento externo que nem sempre está conectado ao seu PC.
Fonte: The Hacker News