Qué es lo que hay que saber (de momento) de la nueva amenaza de #ransomware #BadRabbit
Algunos han despertado hoy reviviendo viejas pesadillas con el ransomware... los sistemas del Metro de Kiev, el aeropuerto de Odessa y varias organizaciones en Rusia confirmaban que sus sistemas informáticos se habían visto bloqueados debido a que los archivos del sistema operativo habían sido cifrados por un ransomware, esta vez el turno es del denominado BadRabbit.
La amenaza se extiende a otros países de Europa del Este: Alemania, Turquía, Bulgaria, Montenegro... conviene fijar la mirada a este nuevo y lucrativo malware, para lo que me quedo con la síntesis del repositorio de Github de Royce Williams y las noticias que van surgiendo. Que el ransomware nos pille confesados...
Breve descripción:
BadRabbit es un ransomware que es capaz de propagarse de forma local a través de SMB (rescate: $ 0.05 BTC).
Hasta ahora, es dirigido principalmente a Rusia y Ucrania, además de otros países (Alemania, Turquía, Bulgaria, Montenegro). Aunque parece que no se autopropaga a nivel mundial, podría dirigirse a objetivos seleccionados a propósito.
Las mitigaciones son similares a las de Petya / NotPetya.
Infección inicial:
Aparece como una actualización de flash falsa:
https://twitter.com/jiriatvirlab/status/922835700873158661/photo/1
La amenaza se extiende a otros países de Europa del Este: Alemania, Turquía, Bulgaria, Montenegro... conviene fijar la mirada a este nuevo y lucrativo malware, para lo que me quedo con la síntesis del repositorio de Github de Royce Williams y las noticias que van surgiendo. Que el ransomware nos pille confesados...
Breve descripción:
BadRabbit es un ransomware que es capaz de propagarse de forma local a través de SMB (rescate: $ 0.05 BTC).
Hasta ahora, es dirigido principalmente a Rusia y Ucrania, además de otros países (Alemania, Turquía, Bulgaria, Montenegro). Aunque parece que no se autopropaga a nivel mundial, podría dirigirse a objetivos seleccionados a propósito.
Las mitigaciones son similares a las de Petya / NotPetya.
Infección inicial:
Aparece como una actualización de flash falsa:
https://twitter.com/jiriatvirlab/status/922835700873158661/photo/1
Objetivos:
Mayormente afecta a .ru /.ua hasta ahora. Medios de comunicación, transporte, gobierno pueden haber sido los primeros objetivos.
Watering holes en Alemania, Turquía, Bulgaria y Montenegro.
Avast dice también Polonia y Corea del Sur?
Lista de extensiones de archivo específicas:
Imagen Tweet: https://twitter.com/craiu/status/922877184494260227
Texto: https://pastebin.com/CwZfyY2F
Componentes y métodos:
- Usa el binario legítimo y firmado de DiskCryptor para cifrar.
- Está casi confirmado que usa EternalBlue (o al menos activa controles que están a la espera de su uso).
- Incorpora Mimikatz.
- Da un mensaje de usuario "por favor apague el antivirus" en algunas circunstancias.
- También se propaga a través de SMB y WebDAV, autopropagandose localmente:
https://twitter.com/GossiTheDog/status/922875805033730048
- Usa una lista de credenciales hardcodeadas: https://pastebin.com/01C05L0C
- C:\WINDOWS\cscc.dat == DiskCryptor (bloquea la ejecución para inocularse?) https://www.virustotal.com/#/file/682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806/details
- C:\Windows\infpub.dat == #BADRABBIT "pushed" lateralmente (bloquea la ejecución para inocularse?) Crear una versión de solo lectura de este archivo puede detener la infección.
https://twitter.com/0xAmit/status/922886907796819968
- Análisis del componente flash_install.php: https://www.hybrid-analysis.com/sample/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da?environmentId=100
- Video en acción:
https://twitter.com/GossiTheDog/status/922858264534142976
- Al parecer, borra los registros de Windows y el journal del sistema de archivos, según ESET
- ¿También instala un keylogger?
- Limpia el sector de arranque y pone kernel al final de la unidad?
- Los C&C y los dominios del payload fueron instalados previamente con mucha antelación: https://twitter.com/mrjohnkelly73/status/922899328636735488
https://twitter.com/craiu/status/922911496497238021
- El 13% del código es reusado de ¡notpeyta https://analyze.intezer.com/#/analyses/d41e8a98-a106-4b4f-9b7c-fd9e2c80ca7d
- Podría ser una variante de Diskcoder, según ESET
- 10 diferencias entre el código de Petya y el de BadRabbit: https://twitter.com/GroupIB_GIB/status/922958914089562112
- Análisis interactivo de BadRabbit.exe: https://app.any.run/tasks/9198fd01-5898-4db9-8188-6ad2ad4f0af3
Referencias de cultura contenidas:
- Dragones de Game of Thrones (Drogon, Rhaegal)
- Película de hackers (al final de la lista de contraseñas hardcodeadas)
Detección:
- Regla de Yara (creada por un ingeniero de McAfee)
https://pastebin.com/Y7pJv3tK
IOCs (via ESET)
- 79116fe99f2b421c52ef64097f0f39b815b20907 infopub.dat Win32/Diskcoder.D Diskcoder
- afeee8b4acff87bc469a6f0364a81ae5d60a2add dispci.exe Win32/Diskcoder.D Lockscreen
- 413eba3973a15c1a6429d9f170f3e8287f98c21c Win32/RiskWare.Mimikatz.X Mimikatz (32-bits)
- 16605a4a29a101208457c47ebfde788487be788d Win64/Riskware.Mimikatz.X Mimikatz (64-bits)
- de5c8d858e6e41da715dca1c019df0bfb92d32c0 install_flash_player.exe Win32/Diskcoder.D Dropper
- 4f61e154230a64902ae035434690bf2b96b4e018 page-main.js JS/Agent.NWC JavaScript on compromised sites
- fbbdc39af1139aebba4da004475e8839- b14d8faf7f0cbcfad051cefe5f39645f
- caforssztxqzf2nm[.]onion
- 1dnscontrol[.]com/flash_install.php
- 1dnscontrol[.]com/install_flash_player.exe
- 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
Defensa;
(via @GossitheDog):
- bloquear tráfico entrante SMB
- usar Credential Guard en Windows
- controlar el número de admins
- monitorizar tareas programadas y creación de servicios
- Vacuna: https://twitter.com/0xAmit/status/922911491694694401
** Create the following files c:\windows\infpub.dat && c:\windows\cscc.dat
** remove ALL PERMISSIONS (inheritance) and you are now vaccinated. :)
Referencias:
- Rough Summary of developing BadRabbit info
- Ukraine cyber police chief says Ukraine hit by 'Badrabbit' malware
- Bad Rabbit: Not-Petya is back with improved ransomware
- Watership downtime: BadRabbit encrypts Russian media, Ukraine transport hub PCs
- BadRabbit ransomware attacks multiple media outlets
- Twitter @GossiTheDog - Bad Rabbit: A new ransomware epidemic is on the rise
- New Ransomware ‘Bad Rabbit’ Spreading Quickly Through Russia and Ukraine
- Bad Rabbit Ransomware Outbreak Hits Eastern Europe
- Bad Rabbit ransomware
- BadRabbit - Ukranian Metro, Airport hit with ransomware
- US-CERT . Multiple Ransomware Infections Reported
- BadRabbit Ransomware Attacks Hitting Russia, Ukraine
- Bad Rabbit: New Ransomware Attack Rapidly Spreading Across Europe
- 'BadRabbit' Ransomware Targets Systems in Russia, Ukraine
- BadRabbit ransomware strikes Eastern Europe
Via: www.hackplayers.com
Qué es lo que hay que saber (de momento) de la nueva amenaza de #ransomware #BadRabbit
Reviewed by Zion3R
on
20:34
Rating: