Boletín de Seguridad UNAM-CERT-2017-003 Alerta por ransomware Bad Rabbit
Descripción
El 24 de octubre de 2017 se identificó un nuevo programa malicioso con características de ransomware propagándose principalmente en Rusia y Ucrania, aunque hay reportes de equipos infectados en Alemania y Turquía.
Este nuevo ransomware ha sido llamado “Bad Rabbit” y exige 0.05 bitcoins para recuperar los archivos secuestrados. Además, una vez que los equipos son infectados, el programa busca equipos vulnerables en la red para así propagarse, utilizando una serie de credenciales comunes para copiarse a través de SMB.
Los equipos infectados con este ransomware muestran la siguiente imagen:
Impacto
El método de propagación del ransomware requiere la intervención del usuario para ejecutar un programa que se hace pasar por una actualización de Adobe Flash pero que sirve para descargar y ejecutar el malware en el equipo víctima. Hasta el momento no se ha identificado el uso de algún exploit.
Adicionalmente, el ransomware cuenta con módulos de movimiento lateral basados en funcionalidades legítimas de sistemas Windows como:
- SVCCTL (servicio de administración remota)
- SMB2
- SMB
- Ataques de fuerza bruta a la autenticación NTLMSSP
Así mismo, hace uso de herramientas de código libre, como mimikatz y DiskCryptor para la recuperación de credenciales en memoria y el cifrado completo del disco duro, respectivamente. Debido a estas características se considera que tiene un impacto medio.
Sistemas afectados
Los sistemas Windows, en sus diferentes versiones, son los afectados por esta amenaza.
Solución
La descarga se realiza a través de sitios legítimos donde se inyecta código para engañar al usuario con una supuesta actualización de Adobe Flash que sirve como cubierta para el ransomware y es descargado de los sitios:
1dnscontrol[.]com/flash_install.php
1dnscontrol[.]com /index.php
Las siguientes firmas SHA256 están asociadas a los archivos que utiliza el ransomware:
Dropper:
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
Payload:
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 C:\Windows\dispci.exe (diskcryptor client)
682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806 C:\Windows\cscc.dat (x32 diskcryptor drv)
0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 C:\Windows\cscc.dat (x64 diskcryptor drv)
579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648 C:\Windows\infpub.dat
2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035 (mimikatz-like x86)
301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c (mimikatz-like x64)
Bloquear estos elementos en los equipos de protección perimetral, así como el monitoreo de tráfico SMB en la red interna y la concientización a los usuarios, son soluciones adecuadas para enfrentar esta amenaza.
Recomendaciones
- Validar las peticiones de actualización de componentes como Adobe Flash.
- Concientizar a los usuarios con buenas prácticas para la navegación en Internet.
- Desconectar de la red los equipos infectados.
- Realizar respaldo de la información.
- No realizar los pagos exigidos por el atacante.
Referencias
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
Elaboró: Demian García ( demian dot garcia at cert dot unam dot mx )
Revisión de estilo: Raul González ( raul dot gonzalez at cert dot unam dot mx )
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
http://www.seguridad.unam.mx
Tel: 56 22 81 69