“Bad Rabbit”: Una nova amenaça de ransomware per empreses i particulars

 A Notícies

Un nou malware batejat com a “Bad Rabbit”, comença a propagar-se per la xarxa i a infectar els sistemes d’empreses i particulars.


El que se sap fins ara és que el ransomware “Bad Rabbit” ha infectat diversos mitjans de comunicació russos; l’agència de notícies Interfax i Fontanka.ru. L’Aeroport Internacional d’Odesa ha informat d’un ciberatac en el seu sistema d’informació, encara que no quedar si és el mateix tipus d’atac.
D’acord amb les primeres investigacions, l’atac no usa exploits, sinó que es tracta d’un atac “drive-*by”: les víctimes descarreguen un instal·lador fals d’Adobe Flash des d’una web infectada i executen l’arxiu .exe ells mateixos. Investigadors han detectat diverses pàgines web compromeses, totes de premsa.

Encara no se sap si és possible recuperar els arxius que ha xifrat Bad Rabbit (ja sigui pagant el rescat o mitjançant algun error en el codi del ransomware).

Fins ara se sap que moltes de les víctimes d’aquests atacs estan a Rússia. També s’han vist atacs similars, encara que pocs, a Ucraïna, Turquia i Alemanya. Aquest ransomware ha infectat els dispositius mitjançant diverses webs russes de premsa que han estat intervingudes per “hackers”.

Analistes de Kaspersky Lab han descobert que l’atac ransomware Bad Rabbit té una clara connexió amb l’atac de ExPetr que va tenir lloc el passat mes de juny d’aquest any. Segons la seva anàlisi, l’algorisme utilitzat en l’atac és similar a l’utilitzat per ExPetr. A més, els experts han detectat que tots dos atacs utilitzen els mateixos dominis; i les similituds en els respectius codis font.

Igual que exPetr, Bad Rabbit intenta fer-se amb credencials de la memòria del sistema i difondre’s dins de la xarxa corporativa per WMIC. No obstant això, els analistes no han trobat els exploits EternalBlue o EternalRomance en l’atac del Bad Rabbit; tots dos utilitzats en ExPetr.

Com evitar ser una víctima d’aquest ransomware:

– Bloqueja l’execució dels arxius c:\windows\*infpub.dat i c:\Windows\cscc.dat.
– Desactiva el servei WMI (si és possible en el teu entorn) per prevenir que el malware s’estengui per la teva xarxa.
– Fes còpies de seguretat de les dades.
– No paguis el rescat.

Si tens dubtes o preguntes sobre aquesta nova amenaça, i vols prevenir-la perquè no infecti el sistema de la teva empresa, contacta amb nosaltres!

Publicacions Recents

Comentaris