Bad Rabbit: Nueva amenaza de ransomware en aumento

Inicio » Bad Rabbit: Nueva amenaza de ransomware en aumento
DESCRIPCIÓN

En estos últimos días se ha presentado una oleada de infección del ransomware Bad Rabbit que está afectando a agencias gubernamentales y empresas privadas de Europa del Este, principalmente de países como Rusia, Ucrania, Alemania.

Los grupos de ciberseguridad de Kaspersky Labs, ESET y Proofpoint, han detectado que el ataque se propago mediante una actualización falsa de Adobe Flash, sin embargo, también parece que utiliza el método de distribución drive-by-download (descarga voluntaria o involuntaria de software proveniente de Internet) y mediante la técnica de ataque watering hole (la cual a partir de sitios Web que en teoría son confiables, el atacante hace redirecciones a URL’s maliciosas) donde los usuarios son dirigidos a un sitio Web con una actualización falsa de Adobe Flash Player. Este ransomware ha afectado al aeropuerto Odessa de Ucrania, el sistema del metro Kiev y el Ministerio de Infraestructura de Ucrania, además de tres agencias de noticias Rusas, incluyendo Interfax y Fontanka.

Basado en el análisis de ESET, Emsisoft, Fox-IT y Group-IB, el ransomware Bad Rabbit utiliza la herramienta Mimikatz para extraer las credenciales existentes en la memoria RAM de la computadora local y junto con una lista de contraseñas hardcodeadas (contraseñas almacenadas en el código fuente de la aplicación), intenta acceder a otras computadoras y servidores en la misma red a través del protocolo SMB (Server Message Block) o el módulo para servidores Web de nombre WebDav.

Una vez que el ransomware Bad Rabbit ha infectado una computadora, la reinicia, cifra sus archivos y después modifica el Master Boot Record (MBR) para mostrar una nota de rescate y solicitar a los usuarios pagar una cantidad de 0.05 bitcoins (equivalente a 283 dólares) por descifrar los archivos. El mensaje o nota de rescate da 40 horas para que se realice el pago, o de lo contrario el precio incrementa.

Las claves de cifrado que utiliza Bad Rabbit se generan usando la función de cifrado de Microsoft Windows CryptGenRandom y luego se protegen utilizando una clave pública RSA de 2048 bits hardcodeada, donde los archivos cifrados tienen la extensión .encrypted.

Por las características de la campaña del ransomware MNEMO-CERT ha identificado en octubre de este año un promedio de 245,607 direcciones IP en México con el protocolo SMB expuesto en Internet, las cuales podrían ser comprometidas por este vector sin interacción del usuario.

NIVEL DE RIESGO

Crítico.

SISTEMA | TECNOLOGÍAS AFECTADAS
  • A la fecha se desconocen la totalidad de los sistemas operativos y versiones que afecta el ransomware, no obstante, se han identificado los siguientes:

    • Windows XP.
    • Windows 7.
    • Windows 10.
MEDIDAS DE ERRADICACIÓN

Hasta el momento no hay medidas de erradicación para esta amenaza, sin embargo, se recomienda llevar a cabo las medidas de mitigación y contención.

MEDIDAS DE MITIGACIÓN Y CONTENCIÓN
    • Concientizar a los usuarios y colaboradores dentro de su organización respecto a esta amenaza, haciendo énfasis en no ejecutar archivos de procedencia sospechosa, tanto en correos electrónicos con archivos adjuntos y sitios web que consulten.
    • Verificar la existencia de servicios SMB expuestos a Internet y en caso de existir alguno inhabilitarlo o en su caso realizar los cambios pertinentes en lo equipos de seguridad perimetrales como:
      • Aplicación de reglas en los firewalls perimetrales para la restricción al servicio SMB.
      • Habilitar las firmas disponibles en dispositivos IPS.
    • Aislar la comunicación de los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes.
    • Habilitar un firewall de host para la restricción del servicio SMB.
    • En caso de que no se puedan aplicar los parches de seguridad de manera inmediata en los equipos se recomienda inhabilitar el servicio SMB.
    • Evitar el uso de sesiones de usuario con privilegios de administrador en los sistemas a menos que sea necesario.
    • Utilizar una solución antivirus que ayude a mitigar la posibilidad de infección.
    • Actualizar los sistemas operativos de Microsoft Windows a las versiones más recientes, aplicando todas las actualizaciones de seguridad correspondientes.
    • Realizar respaldos de información de forma regular.

Indicadores de compromiso

  • Hashes relacionados con la muestra maliciosa.
Hash – SHA256 Nombre del archivo Propósito
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da install_flash_player.exe dropper
579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 infpub.dat diskcoder
682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806 cscc.dat x32 diskcryptor drv
0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 cscc.dat x64 diskcryptor drv
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 dispci.exe diskcryptor client
2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035 mimikatz-like x86
301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c mimikatz-like x64
  • Llaves de registro modificadas por el malware.
      • HKLM\SYSTEM\CurrentControlSet\services\cscc
      • HKLM\SYSTEM\CurrentControlSet\services\cscc\Type 1
      • HKLM\SYSTEM\CurrentControlSet\services\cscc\Start 0
      • HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl 3
      • HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath cscc.dat
      • HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName Windows Client Side Caching DDriver
      • HKLM\SYSTEM\CurrentControlSet\services\cscc\Group Filter
      • HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService FltMgr
      • HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64 1
  • Puertos utilizados para propagarse.
      • Trafico SMB local y remoto en los puertos 137, 139, 445.
  • Actividad de red – Servidores de C&C.
      • URL de distribution – 1:
        • hxxp://1dnscontrol[.]com/flash_install.php
      • URL de distribución – 2:
        • hxxp://1dnscontrol[.]com/index.php
      • URL del inject:
        • http://185.149.120[.]3/scholargoogle/
      • Sito de Pago:
        • http://caforssztxqzf2nm[.]onion
  • Lista de sitios comprometidos.
      • hxxp://argumentiru[.]com
      • hxxp://www.fontanka[.]ru
      • hxxp://grupovo[.]bg
      • hxxp://www.sinematurk[.]com
      • hxxp://www.aica.co[.]jp
      • hxxp://spbvoditel[.]ru
      • hxxp://argumenti[.]ru
      • hxxp://www.mediaport[.]ua
      • hxxp://blog.fontanka[.]ru
      • hxxp://an-crimea[.]ru
      • hxxp://www.t.ks[.]ua
      • hxxp://most-dnepr[.]info
      • hxxp://osvitaportal.com[.]ua
      • hxxp://www.otbrana[.]com
      • hxxp://calendar.fontanka[.]ru
      • hxxp://www.grupovo[.]bg
      • hxxp://www.pensionhotel[.]cz
      • hxxp://www.online812[.]ru
      • hxxp://www.imer[.]ro
      • hxxp://novayagazeta.spb[.]ru
      • hxxp://i24.com[.]ua
      • hxxp://bg.pensionhotel[.]com
      • hxxp://ankerch-crimea[.]ru
  • Extensiones de archivos comprometidas.
      • .3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

MNEMO CERT

Síguenos en Twitter

@ictandlaw @cibercrimen Así es, desde hace varias horas reportábamos el problema, Saludos. facebook.com/14980572904584…

reply · retweet · favorite

CONTÁCTENOS

 
  • Paseo de la reforma 373 piso 5,CDMX, México
  • +52 (55) 3872 0238
  • cert@mnemo.com