Este año hemos asistido a dos grandes ataques de ransomware: WannaCry y NotPetya. El primero fue el más devastador, pues pilló a miles de ordenadores sin proteger y generó multitud de problemas. Además, sirvió para evidenciar que pagar por el rescate de nuestros datos es inútil, pues el email que había que mandar la prueba fue cerrado nada más lanzarse el ataque. Ahora, podríamos estar ante el tercer gran caso de ransomware de 2017 con BadRabbit.

BadRabbit: el nuevo ransomware que se extiende por Rusia y Ucrania

Este ataque está extendiéndose ahora mismo por Rusia, Ucrania, y otros países de Europa del Este. Entre los sistemas afectados se encuentran ordenadores del metro de Kiev, el aeropuerto de Odessa (que ya se vio gravemente afectado por WannaCry), o algunos medios rusos. A todos les está saliendo un mensaje en el ordenador en el que les avisan de que está cifrado y de que tienen que pagar una cantidad determinada de Bitcoins.

Empresa como ESET y Kaspersky están analizando con detenimiento la situación, y afirman que los autores de este ransomware tienen relación con Petya. Kaspersky además afirma que BadRabbit está atacando las mismas páginas web y servicios que atacó Petya, y que el ataque llevaba preparándose desde julio. No hay datos sobre cuál es el origen del ataque, pero se intuye Rusia o Ucrania.

En ambos casos, el método de expansión es el mismo: a través del Windows Management Instrumentation Command-line (WMIC), que permite controlar dispositivos y aplicaciones dentro de una misma red. Junto con ella, también se usa Mimikatz, una herramienta que obtiene contraseñas y otros datos de los ordenadores infectados.

Se extiende a través del navegador, incluso a escondidas del usuario

Para distribuir BadRabbit e infectar un ordenador en un principio, ESET afirma que uno de los métodos es a través de descarga y ejecución de un archivo en el navegador (sabiéndolo o no el usuario) a través de una inyección de Javascript en la web o en un archivo .js que se descarga aparte.

Por ejemplo, un medio ruso que informaba del ataque contenía un Javascript que infectaba a los visitantes que leían las noticias. Cuando se visita una web, salta un pop-up avisando de que Flash Player necesita actualizarse, y así muchos usuarios descargan y ejecutan el archivo sin saber que van a ser infectados.

Una vez el usuario es infectado, aparece una ventana a través del navegador Tor donde aparece una dirección de una cartera de Bitcoins para enviar el pago de 0,05 Bitcoins, que equivale a 278 dólares o 237 euros. El pago ha de realizarse en 41 horas. Si no se realiza el pago en ese tiempo, se resetea el contador y la cantidad demandada en Bitcoins aumenta.

Como siempre, si os veis infectados por este ransomware os recomendamos no pagar nunca el rescate, pues la cuenta de email a la que hay que enviar la prueba acaba rápidamente cerrada (en este caso no aparece cuál es para evitar que la cierren) o los hackers no envían de todas formas la clave de desbloqueo.