Pular para o conteúdo principal

Bad Rabbit: nova epidemia de ransomware usa sites contaminados

Já vimos dois ataques em grande escala do Ransomware este ano – WannaCry e ExPetr (também conhecido como Petya e NotPetya). Parece que um terceiro ataque está em ascensão: o malware Bad Rabbit – nome indicado pelo site darknet citado na nota de resgate.
O que se sabe até agora é que o Bad Rabbit infectou vários grandes meios de comunicação russos, como as agências de notícias Interfax e Fontanka.ru. O Aeroporto Internacional de Odessa (Ucrânia) informou sobre um ataque cibernético em seu sistema de informação.
Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate – aproximadamente US$ 280 à taxa de câmbio atual.

De acordo com nossas descobertas, o ataque não usa exploits. É um ataque drive-by: as vítimas baixam um falso instalador do Adobe Flash de sites infectados e iniciam manualmente o arquivo .exe, infectando-se assim. Nossos pesquisadores detectaram uma série de sites comprometidos, todas de notícias ou de mídia.
Se é possível recuperar arquivos criptografados por Bad Rabbit (seja pagando o resgate ou usando alguma falha no código do ransomware) ainda não é conhecido. Os especialistas da Kaspersky Lab estão investigando o ataque e estaremos atualizando esta publicação com suas descobertas.
De acordo com nossos dados, a maioria das vítimas está na Rússia. Também vimos ataques semelhantes, porém menos, na Ucrânia, Turquia e Alemanha. Este ransomware infectou dispositivos por meio de uma série de sites de mídia russo hackeados. Com base em nossa investigação, é um ataque direcionado contra redes corporativas, usando métodos semelhantes aos usados ​​no ataque do ExPetr.
Nossos especialistas coletaram evidências suficientes para vincular o ataque de Bad Rabbit com o do ExPetr, em junho deste ano. De acordo com as análises, alguns dos códigos usados no Bad Rabbit foram vistos no ExPetr.
Outras semelhanças incluem a mesma lista de domínios utilizados para o ataque drive-by (alguns desses domínios foram hackeados em junho, mas não utilizados), bem como as mesmas técnicas utilizadas para espalhar o malware em redes corporativas – ambos os ataques utilizaram o Windows Management Instrumentation Command Line (WMIC). No entanto, há uma diferença: ao contrário do ExPetr, o Bad Rabbit não usa o EternalBlue – ou qualquer outro exploit.
Nossos especialistas pensam que o mesmo ator da ameaça está atrás de ambos os ataques e que ele estava preparando o ataque Bad Rabbit desde julho deste ano, ou mesmo antes.
Continuamos nossa investigação. Enquanto isso, você pode encontrar mais detalhes técnicos nesta publicação na Securelist.
Os produtos da Kaspersky Lab detectam o ataque com os seguintes nomes: UDS: DangerousObject.Multi.Generic (detectado pela Kaspersky Security Network), PDM: Trojan.Win32.Generic (detectado pelo System Watcher) e Trojan-Ransom.Win32.Gen.ftl.

Para evitar ser uma vítima do Bad Rabbit:
Usuários dos produtos Kaspersky Lab:
Outros usuários:
  • Bloqueie a execução dos arquivos c:\windows\ infpub.dat e c:\Windows\cscc.dat.
  • Desative o serviço WMI (se for possível no seu ambiente) para impedir que o malware se espalhe pela sua rede.
Dicas para todos:


ENGENHARIA DE REDES E PROTEÇÂO ATIVA CONTRA CYBERATAQUES (11) 4325 4289 - WWW.DERECO.COM.BR Seu ambiente monitorado e sempre à disposição. Através de seu Centro de Gerenciamento (NOC), a DERECO TECNOLOGIA gerencia a infraestrutura de TI e monitora redes, servidores e serviços, mantendo-os sempre disponíveis, com correções preventivas, para tornar o ambiente cada vez mais atualizado e seguro.

A DERECO TECNOLOGIA É PARCEIRO AUTORIZADO DA KASPERSKY Consulte-nos
DERECO TECNOLOGIA
(11) 4384 4325 - http://www.dereco.com.br

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Importância do Bitdefender Gravityzone para compliance do LGPD

O Bitdefender GravityZone desempenha um papel crucial na conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, que estabelece diretrizes rigorosas sobre o tratamento de dados pessoais.  A seguir, estão alguns pontos-chave sobre como essa plataforma de segurança contribui para a conformidade com a LGPD: Proteção de Dados Pessoais:  O GravityZone oferece proteção abrangente contra diversas ameaças cibernéticas, como ransomware e phishing, que podem comprometer dados pessoais.  A LGPD exige que as empresas implementem medidas de segurança para proteger informações sensíveis, e o GravityZone ajuda a atender a essa necessidade  Gerenciamento de Segurança:  A plataforma permite que as empresas mantenham e atualizem seus softwares de antivírus e firewalls, que são essenciais para a proteção da rede.  A manutenção de protocolos de segurança robustos é uma exigência da LGPD, e o GravityZone facilita essa tarefa  . Criptografia de Disco C...
Postar um comentário
Leia mais

Bitdefender se destaca nas avaliações do MITRE ATT&CK®

  A Bitdefender, líder global em segurança cibernética, anunciou hoje resultados excepcionais nas avaliações empresariais MITRE Engenuity ATT&CK® 2024. A Bitdefender demonstrou eficiência incomparável, exigindo uma média de apenas três alertas para identificar e relatar incidentes ao centro de operações de segurança (SOC), superando em muito a mediana de 209 alertas de outras soluções testadas. As avaliações, conduzidas por meio de rigorosos testes independentes simulando comportamento e técnicas do adversário, avaliaram as capacidades de detecção e proteção de 19 fornecedores participantes. Este ano, a MITRE introduziu duas novas métricas principais — 'Total de alertas gerados' e 'Falsos positivos' — para medir melhor a capacidade de ação e a eficácia das soluções dos fornecedores. “As equipes de segurança estão sob pressão para melhorar o tempo de resposta, pois ransomware e ataques sofisticados patrocinados pelo estado se tornam mais frequentes”, disse Dragos Gav...
Postar um comentário
Leia mais

Proteção de Endpoint e Antivírus Corporativo

Introdução Nos últimos anos, os incidentes de segurança cibernética têm se tornado cada vez mais frequentes e complexos. Ataques como ransomware, phishing e malware são apenas algumas das ameaças que as empresas enfrentam diariamente.  Esses incidentes não só comprometem a integridade dos dados, mas também podem resultar em perdas financeiras significativas, danos à reputação e até mesmo ações legais. Além disso, a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor no Brasil em setembro de 2020, impõe obrigações rigorosas sobre como as empresas devem coletar, armazenar e processar dados pessoais.  A não conformidade com a LGPD pode resultar em multas pesadas, além de impactos negativos na confiança do consumidor. Assim, a proteção de dados e a segurança da informação se tornaram prioridades para as empresas, exigindo soluções robustas de proteção de endpoint e antivírus corporativo. A Importância da Proteção de Endpoint A proteção de endpoint refere-se à prática de pro...
Postar um comentário
Leia mais