1

De los mismos creadores de NotPetya llega el ransomware Bad Rabbit

Aunque las firmas de ciberseguridad lo ubican sólo en Europa, Kaspersky Lab afirma que el nuevo ransomware podrías ser el principio de una nueva epidemia.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Sí, es cierto; hay pocos empresas afectadas en apenas CUATRO (04) países (Ucrania, Rusia, Turquía y Alemania) y ya las fuentes de la infección (sitios web) se encuentran limpios, presumiblemente porque los hackers retiraron los códigos maliciosos luego de que la infección comenzó a circular.

Hum… suena a prueba de validación, ¿verdad? Parece que los analistas de Kaspersky Lab son de la misma opinión porque ya señalan al ransomware Bad Rabbit como una amenaza de epidemia global al igual que sus “primos” NotPetya y, especialmente, WannaCry. Ninguno de los dos necesita presentación.

Bad Rabbit sin embargo, si la precisa: el malware fue detectado el pasado martes y, a pesar de que las fuentes parecieran cerradas, en 48 logró, entre otras cosas, comprometer servicios de trenes y bancarios en Rusia y Ucrania. Se sospecha, además, que un ciberataque que afectó al aeropuerto de Odessa (Alemania) es responsabilidad de Bad Rabbit.

Si bien 2017 pareciera haber dejado en claro que Rusia pero, especialmente, Ucrania son blancos “ideales” para los hackers por su extrema vulnerabilidad, un aeropuerto alemán ya entra en otra categoría por lo que, al llegar Alemania la alerta quedó fija en amarilla esperando nuevos avances.

Como se recordará, alrededor de semana y media antes del ataque de WannaCry se reportaron incidentes aislados, aparentemente no relacionados en países como Reino Unido, Perú y Brasil… por lo que la actual situación pudiera ser un pésimo pronóstico,

Buen comienzo, mal pronóstico

Los especialistas de Kaspersky Lab han señalado que los autores de Bad Rabbit (nombre que aparece en la web de la darknet que solicita el rescate) son los mismos que crearon NotPetya.

Del nuevo malware se sabe que:
• El código hace referencia a personajes de Games of Thrones: los dragones Drogon, Viserion y Rhaegal, además de una mención al líder de los Inmaculados: Gusano Gris.
• El algoritmo hash utilizado en el ataque es similar al utilizado por ExPetr.
• Hay similitudes de código con este ransomware y se utilizan los mismos dominios para su propagación.
• Bad Rabbit intenta hacerse con credenciales de la memoria del sistema y difundirse dentro de la red corporativa por WMIC.
No usa exploits.
• Se trata de un ataque drive-by: las víctimas descargan un instalador falso de Adobe Flash desde una web infectada y que las propias víctimas ejecutan ejecutan el archivo .exe.
• Aún no se sabe si, efectivamente, pueden desbloquearse los archivos que son objetos de este ransomware.
• Los ciberatacantes responsables de este ataque piden 0,05 bitcoins como rescate, es decir, unos US$ unos 280 con el cambio actual.