Novo ransomware Bad Rabbit ataca Rússia, Ucrânia e Alemanha

Mais uma onda de ataques de ransomware, vírus que roubam e encriptam arquivos para solicitar posteriormente o pagamento de resgate para que os dados retornem aos seus proprietários, afetou uma série de organizações no leste europeu. Há relatos de ocorrências na Rússia, no aeroporto de Odessa, na Ucrânia, e no metrô da capital Kiev. Casos também foram reportados por empresas na Turquia, Bulgária e Alemanha.

Cinco meses após a ocorrência do WannaCry e quatro após o ataque do NotPetya, ambos em escala mundial, uma nova variante do Bad Rabbit já conta com mais de 200 casos relatados, incluindo organizações de notícias. O principal alvo está sendo a Rússia, onde o vírus encriptou computadores e está pedindo resgates na faixa de 0,05 bitcoins, o equivalente a US$ 277,00, ou R$ 850,00 para que os proprietários voltem a ter acesso a seus arquivos ou que eles não sejam enviados a terceiros, ligando o alerta vermelho para a probabilidade de um terceiro ataque em dimensão global.

Da mesma forma que o NotPetya foi disseminado através do processo de atualização do software de contabilidade ucraniano MeDoc, o Bad Rabbit aparentemente se transmite através de uma falha na atualização do Adobe Flash, de acordo com a empresa de segurança ESET. Assim que a vítima instala o arquivo .exe falso, o PC é criptografado. Assim, diferente do WannaCry, é a vítima que aciona o arquivo malicioso por conta própria.

Segundo a lista divulgada pela empresa, 23 sites foram adulterados para contaminar os visitantes, mas é possível que haja outros envolvidos. A maioria das páginas é da Rússia e da Ucrânia, mas há também um endereço do Japão, um da República Checa, um da Romênia e alguns da Bulgária.

As informações sobre os métodos de propagação ainda são poucas e divergentes. Alguns fabricantes de antivírus comunicam que o malware usa a vulnerabilidade conhecida como EternalBlue para se espalhar e fazer o movimento lateral. Outros, afirmam que o malware procura e tenta acesso via compartilhamentos, usando uma lista pré-definida de usuários e senhas padrão para se autocopiar posteriormente para a máquina de destino.

Um consenso é que uma vez na máquina destino o malware usa o software conhecido como Mimikatz para procurar credenciais válidas na memória e acessar novos equipamentos, dando sequência ao ciclo.Pesquisadores continuam trabalhando em análises mais detalhadas.

Na análise de Christian Vezina, CISO da Vasco Data Security, empresa global em soluções digitais incluindo identidade, segurança e produtividade nos negócios, se existe alguma semelhança do Bad Rabbit com o NotPetya é melhor estar preparado e esperar por uma nova onda de destruição e não apenas um simples incômodo.

“Na medida em que o Bad Rabbit toma o lugar do disco de inicialização principal após encriptar os arquivos, talvez demore muito para que as vítimas tenham seus dados de volta. A boa notícia, se é que existe uma, é que ele se dissemina através das táticas da engenharia social. Ao orientar os usuários a simplesmente não acessar qualquer link que se apresente a eles já se é possível limitar bem a exposição ao vírus. Dois outros conselhos são restringir os direitos dos administradores nas estações de trabalho dos colaboradores e ter a certeza de que o time de TI da empresa está constantemente fazendo todas as atualizações”.