Na última terça-feira, 24 de outubro de 2017, um novo ataque de ransomware batizado de Bad Rabbit se propagou na Rússia e Ucrânia, causando atrasos no aeroporto ucraniano de Odessa e afetando vários meios de comunicação na Rússia, incluindo a agência de notícias Interfax e Fontanka.ru. Horas depois, afetou o sistema de metrô em Kiev, na Ucrânia, o que gerou um alerta para outras empresas de serviços de massa e finanças na região.
Os criminosos por trás do ataque estão exigindo 0,05 bitcoin como resgate — o que é cerca de R$900 na taxa de câmbio atual da criptomoeda. Assim como em outros casos, o vírus usa um contador regressivo para pressionar a vítima a pagar pelo resgate o quanto antes. Não há garantias, porém, de que ao pagar a quantia pedida em bitcoin, os hackers vão liberar os seus dados no PC.
No Brasil, empresas do setor de comunicação e de outras áreas alertaram para a presença do ransomware na manhã desta quarta-feira (25).
Clientes Infomach, que possuem as soluções McAfee e/ou SonicWall estão protegidos, conforme será explicado no decorrer do artigo.
O que já se sabe sobre o Bad Rabbit
O vírus chega por meio de um download falso do Flash Player
Os responsáveis pelo ataque invadiram diversos sites para incluir neles um código que leva alguns dos visitantes a um download falso do Adobe Flash Player. Foi divulgada uma lista de 23 sites que se sabe que foram adulterados para contaminar os visitantes, mas é possível que outros sites além destes 23 também estejam envolvidos.
A maioria das páginas é da Rússia e da Ucrânia, mas há também um endereço do Japão, um da República Checa, um da Romênia e alguns endereços voltados a internautas da Bulgária. Os sites comprometidos são os seguintes:
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru
Nenhuma vulnerabilidade é explorada no navegador do internauta. A vítima deve baixar e executar o arquivo oferecido. Também é possível que nem todos os visitantes recebam a janela de download, porque o navegador envia algumas informações para um servidor de controle, que pode determinar quem receberá o golpe.
Vale observar que os principais navegadores modernos, como o Chrome e o Edge, já incluem o Flash Player e, portanto, nenhum aviso sobre atualização do plug-in será verdadeira. Em outros navegadores, embora a instalação do Flash possa ser necessária, as atualizações devem ser sempre feitas a partir do site da Adobe.
Depois de contaminar o computador, o Bad Rabbit se espalha pela rede
De acordo com especialistas, o Bad Rabbit é capaz de se espalhar para outros computadores da rede usando credenciais de acesso. O vírus traz no código alguns pares de usuários e senhas comuns para tentar acessar as outras máquinas, mas também usa uma ferramenta para roubar a senha de acesso do próprio usuário do computador.
Um pesquisador da McAfee disse que o Bad Rabbit criptografa uma grande variedade de arquivos, incluindo .doc, .docx, .jpg e outros tipos comuns de arquivos. De acordo com vários pesquisadores, o Bad Rabbit contém referências à série Game of Thrones, especificamente os nomes de três dragões, Drogon, Rhaegal e Viserion.
Houve uma especulação de que o vírus poderia utilizar a brecha EternalBlue (a mesma que foi usada pelo WannaCry), mas isso não foi observado.
O código do Bad Rabbit tem semelhanças com o ExPetr/NotPetya
Os especialistas consideram que há bastante semelhança entre o Bad Rabbit e o vírus NotPetya, também chamado de ExPetr. O NotPetya atacou empresas na Europa, principalmente na Ucrânia, a partir do sistema de atualização automática de um programa ucraniano de contabilidade. O ataque ocorreu em junho.
O Bad Rabbit tem diferenças consideráveis, no entanto. A criptografia do disco rígido é realizada usando um componente do programa legítimo de código aberto DiskCryptor. Também é possível que a criptografia do Bad Rabbit possa sim ser revertida, enquanto o NotPetya – intencionalmente ou não – destruía a chave que permitiria recuperar os dados.
A maioria das vítimas está na Rússia
Pesquisas apontam que 65% dos sistemas infectados são russos. Também há registro de sistemas infectados na Ucrânia, Turquia e Japão.
Até o momento, não há casos registrados no Brasil.
Tanto a McAfee, quanto a SonicWall, parceiros Infomach, estão cientes da ameaça e já se pronunciaram sobre a mesma
A SonicWall, em seu site, tranquilizou os seus usuários, constatando que:
“Os pesquisadores de ameaças da SonicWall Capture Labs investigaram o Bad Rabbit e a proficiência do serviço de sandboxing SonicWall Capture Advanced Threat Protection (ATP) contra o ransomware anteriormente desconhecido. Analisando três diferentes amostras do Bad Rabbit, o ATP de captura multi-motor obteve sucesso ao interromper todos os três ataques.
O SonicWall Capture Labs lançou assinaturas para proteger contra o malware de Bad Rabbit, que estão disponíveis para qualquer pessoa com uma assinatura de Gateway Security ativa (GAV / IPS). Além disso, o serviço de sandboxing de proteção contra ameaças avançadas (ATP) da SonicWall Capture é projetado para fornecer proteção em tempo real contra novas ameaças de malware antes mesmo que as assinaturas estejam disponíveis no firewall”.
A McAfee, também em seu site, criou um artigo explicando como os produtos McAfee protegem seus usuários contra o ransomware Bad Rabbit.
“A McAfee está liderando a forma como as empresas se protegem contra ameaças emergentes, como o Ransomware Bad Rabbit, corrigem problemas de segurança complexos e combatem ataques com uma plataforma de segurança inteligente de ponta a ponta que oferece proteção adaptável e contínua como parte do ciclo de vida da defesa da ameaça.
A McAfee já possuía proteção de dia zero para os componentes do ataque inicial do Bad Rabbit sob a forma de análises comportamentais, heurísticas, de controle de aplicativos e sandbox.”.
Vale notar que este é um ataque que funciona em computadores Windows. A Adobe, porém, já anunciou fim do Flash Player para 2020. Em seu lugar, vem sendo utilizada a tecnologia HTML5.
Ou seja, se você entrar em algum site que solicite a atualização do Flash para ver um vídeo ou ter acesso a algum conteúdo, não a faça via pop-ups do próprio site. Você pode descobrir se está utilizando a versão mais recente no próprio site da Adobe e obter o download seguro e original do Flash caso seja necessário seu uso.
Outras dicas para não ter problemas com o Bad Rabbit são:
- Bloqueie execução de arquivos c:\windows\infpub.dat e c:\Windows\cscc.dat
- Não realize qualquer atualização de softwares da Adobe, por agora
- Se usar a linha CC, Adobe Cloud, fique offline e não ative o Cloud
- Desabilite o serviço WMI
- Realize um backup de seus arquivos
- Se infectado, não pague. Não ajude nem incentive os cibercriminosos
Quer saber como proteger a rede de sua empresa? Nossos especialistas têm desenhado e implementado diversos projetos para nossos clientes. Basta ligar para (62) 3945-7955 ou acessar nossa página de contato.