Nós já vimos dois ataques de resgate em grande escala neste ano – estamos falando sobre o infame WannaCr y e ExPetr (também conhecido como Petya e NotPetya). Parece que um terceiro ataque está em ascensão: o novo malware é chamado Bad Rabbit – pelo menos, esse é o nome indicado pelo site darknet vinculado na nota de resgate.
O que é conhecido no momento é que o Ransomware Bad Rabbit infectou vários grandes meios de comunicação russos, com a agência de notícias Interfax e Fontanka.ru entre as vítimas confirmadas do malware. O Aeroporto Internacional de Odessa informou sobre um ataque cibernético em seu sistema de informação, embora seja o mesmo ataque ainda não ser claro.
Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate – isso é aproximadamente $ 280 à taxa de câmbio atual.
De acordo com nossas descobertas, o ataque não usa explorações. É um ataque drive-by: as vítimas baixam um falso instalador Adobe Flash de sites infectados e iniciam manualmente o arquivo .exe, infectando-se assim. Nossos pesquisadores detectaram uma série de sites comprometidos, todas as notícias ou sites de mídia.
Se é possível recuperar arquivos criptografados por Bad Rabbit (seja pagando o resgate ou usando alguma falha no código do ransomware) ainda não é conhecido. Os especialistas em antivírus da Kaspersky Lab estão investigando o ataque e estaremos atualizando esta publicação com suas descobertas.
De acordo com nossos dados, a maioria das vítimas desses ataques está localizada na Rússia. Também vimos ataques semelhantes, porém menos, na Ucrânia, Turquia e Alemanha. Este ransomware infectou dispositivos através de uma série de sites de mídia russo hackeados. Com base em nossa investigação, este é um ataque direcionado contra redes corporativas, usando métodos semelhantes aos usados ??no ataque do ExPetr. No entanto, não podemos confirmar que está relacionado ao ExPetr. Continuamos nossa investigação. Enquanto isso, você pode encontrar mais detalhes técnicos nesta publicação na Securelist .
Os produtos da Kaspersky Lab detectam o ataque com os seguintes veredictos: UDS: DangerousObject.Multi.Generic (detectado pela Kaspersky Security Network), PDM: Trojan.Win32.Generic (detectado pelo System Watcher) e Trojan-Ransom.Win32.Gen.ftl.
Usuários dos produtos Kaspersky Lab:
- Certifique-se de que o System Watcher e o Kaspersky Security Network funcionem. Caso contrário, é essencial ativar esses recursos.
Outros usuários:
- Bloqueie a execução de arquivos c: \ windows \ infpub.dat e c: \ Windows \ cscc.dat.
- Desative o serviço WMI (se for possível no seu ambiente) para impedir que o malware se espalhe pela sua rede.
Dicas para todos:
- Faça backup de seus dados.
- Não pague o resgate.