Na terça-feira, 24 de outubro, uma nova vertente de ransomware chamado Bad Rabbit apareceu na Rússia e na Ucrânia. À noite, o foco estava se espalhando para a Europa, incluindo a Turquia e a Alemanha. As vítimas relatadas até agora incluem aeroportos, estações de trem e agências de notícias.
O primeiro foi encontrado depois de atacar meios de comunicação russos e grandes organizações na Ucrânia. O instalador inicial é mascarado por uma atualização do Flash. Curiosamente, este malware contém uma lista de credenciais de Windows codificadas, com maior probabilidade de entrada de força bruta em dispositivos na rede.
Já existem infecções espalhadas pelos países europeus e é praticamente certo vermos infecções no Brasil nas próximas horas.
Segundo análise da Kaspersky, fabricante russa de antivírus, o ataque não usa explorações (exploits). É um drive-by attack: as vítimas baixam um falso instalador Adobe Flash Player de sites infectados e iniciam manualmente o arquivo .exe, infectando os seus PCs.
Vale notar que este é um ataque que funciona em computadores Windows. A Adobe, porém, já anunciou fim do Flash Player para 2020. Em seu lugar, vem sendo usada tecnologia html5.
Ou seja, se você entrar em algum site que solicite a atualização do Flash para ver um vídeo ou ter acesso a algum conteúdo, não a faça via pop-ups do próprio site. Você pode descobrir se está utilizando a versão mais recente no próprio site da Adobe e obter o download seguro e original do Flash caso seja necessário seu uso.
Ao clicar no botão “Instalar”, o download de um arquivo executável é iniciado. Este arquivo, encontrado como install_flash_player.exe, é que causa o bloqueio dos seus dados na máquina.
A firma de cibersegurança russa Group-IB relata que pelo menos três veículos de imprensa russos foram atacados, contando também “instituições estatais e objetos estratégicos na Ucrânia como vítimas”. A firma contou à Motherboard que um aeroporto em Odessa, o metrô de Kiev e o ministério da Infraestrutura da Ucrânia foram todos afetados por um “novo ciberataque em massa”.
A agência de notícias russa Interfax anunciou no Twitter que estava trabalhando para restaurar seus sistemas depois de os hackers derrubarem seus servidores.
Uma vez infectadas, as vítimas eram redirecionadas a um site escondido por Tor em que um resgate de 0,05 bitcoins (cerca de R$ 911 na cotação atual) era exigido. Se não for pago dentro de aproximadamente 40 horas, o custo para descriptografar os dados perdidos aumenta. Não há garantias, porém, de que ao pagar a quantia pedida em bitcoin, os hackers vão liberar os seus dados no PC. A mensagem de resgate, em fonte vermelha sobre um fundo preto, parece ser similar àquela usada nos ataques do NotPetya em junho deste ano.
De acordo com a Kaspersky Lab, de Moscou, as infecções de Bad Rabbit foram detectadas também na Turquia e na Alemanha. “Baseado em nossa investigação, esse é um ataque direcionado contra redes corporativas, usando métodos parecidos àqueles usados no ataque do [NotPetya]”, afirmou a empresa. “Entretanto, não podemos confirmar que ele esteja relacionado ao NotPetya. Vamos continuar nossa investigação.”
A firma de cibersegurança tcheca ESET disse em um post de blog que o ataque aos sistemas do metrô de Kiev foram uma variante do ransomware Petya, no qual o NotPetya também foi baseado — embora o NotPetya tenha sido determinado posteriormente como um malware wiper, projetado para danificar dados permanentemente, e não coletar resgates.
Como se proteger do Bad Rabbit Ransomware?
- Aplique todos os patches aos sistemas operacionais;
- Remova o Flash completamente;
- Desative o WMI do Windows para evitar infecções em rede;
- Faça backup;
- Use uma senha de boa complexidade;
- Proteja os pontos finais com uma solução anti-vírus atualizada;
- Certifique-se de que o firmware do ponto de extremidade e do ponto final esteja atual;
- Implemente sandbox de rede para descobrir e mitigar novas ameaças;
- Implante um firewall de próxima geração com uma assinatura de segurança do gateway para interromper ameaças conhecidas.
Os clientes SonicWall estão protegidos?
Sim. Protegidos desde o dia zero! A SonicWall Capture Labs lançou assinaturas para proteger contra o malware Bad Rabbit que estão disponíveis para qualquer pessoa com uma assinatura de Gateway Security ativa (GAV / IPS). Além disso, o serviço de sandbox SonicWall Capture Advanced Threat Protection (ATP) é projetado para fornecer proteção em tempo real contra novas ameaças de malware, mesmo antes que as assinaturas estejam disponíveis no firewall.
É recomendado que os clientes da SonicWall garantam imediatamente que o serviço Sandbox Capture ATP esteja ativado nos firewalls de próxima geração com o recurso Block Until Verdict. Para o Bad Rabbit, não é necessário atualizar as assinaturas nos firewalls da SonicWall, pois são propagadas automaticamente para a base instalada em todo o mundo após a implantação.
Os clientes Sophos estão protegidos?
Sim. Os clientes da Sophos Intercept X e Exploit Prevention foram protegidos contra este ataque de forma proativa, sem atualizações necessárias.
Fontes: nakedsecurity.sophos.com; blog.sonicwall.com; gizmodo.uol.com.br; techtudo.com.br
As soluções da Portnet além de aumentar a segurança e a disponibilidade do seu ambiente, proporcionam a tranquilidade necessária pra você pensar no seu negócio.
Converse com os especialistas de segurança Portnet e encontre a solução ideal para a sua empresa!