BadRabbit: nuevo Ransom semejante a NotPetya y con amplia propagación

Algunos han despertado hoy reviviendo viejas pesadillas con el ransomware... los sistemas del Metro de Kiev, el aeropuerto de Odessa y varias organizaciones en Rusia confirmaban que sus sistemas informáticos se habían visto bloqueados debido a que los archivos del sistema operativo habían sido cifrados por un ransomware, esta vez el turno es del denominado BadRabbit.

La amenaza se extiende a otros países de Europa del Este: Alemania, Turquía, Bulgaria, Montenegro... conviene fijar la mirada a este nuevo y lucrativo malware, para lo que me quedo con la síntesis del repositorio deNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta y las noticias que van surgiendo.

BadRabbit es un ransomware que es capaz de propagarse de forma local a través de SMB. Para llevar a cabo el proceso de infección utiliza ingeniería social, haciéndose pasar por un instalador de Adobe Flash Player. Una vez haya infectado la computadora inicial, intentará esparcirse a través de la red local utilizando una lista de nombres de usuario y contraseñas, por lo que resulta determinante utilizar un nombre de usuario y sobre todo una contraseña que no sean sencillas de adivinar. Como método de esparcimiento de momento se descarta la utilización de la vulnerabilidad de SMB utilizada por WannaCry y NotPetya.

Bad Rabbit no solo cifra los ficheros personales que encuentre utilizando claves RSA 2048, añadiéndoles la extensión .encrypted, sino que además también cifra el MBR del disco duro utilizando No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, una herramienta de cifrado completo de disco Open Source. Para el pago del rescate pide 0,05 bitcoins que se tienen que pagar mediante la red Tor.



Hasta ahora, es dirigido principalmente a Rusia y Ucrania, además de otros países (Alemania, Turquía, Bulgaria, Montenegro). Aunque parece que no se autopropaga a nivel mundial, podría dirigirse a objetivos seleccionados a propósito. Las mitigaciones son similares a las de Petya / NotPetya.


Infección inicial

Aparece como una actualización de flash falsa:



Es probable que las infecciones sean del tipo Watering-Hole/Drive-By, pero también pueden ser dirigidas selectivamente.
Lista de extensiones de archivo específicas

    Imagen Tweet: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    Texto: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Componentes y métodos:

Usa el binario legítimo y firmado de DiskCryptor para cifrar
Está casi confirmado que usa EternalBlue (o al menos activa controles que están a la espera de su uso)
Incorpora Mimikatz.
Da un mensaje de usuario "por favor apague el antivirus" en algunas circunstancias.
También se propaga a través de SMB y WebDAV,  autopropagandose localmente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Usa una lista de credenciales hardcodeadas:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
C:\WINDOWS\cscc.dat == DiskCryptor (¿bloquea la ejecución para inocularse?)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
C:\Windows\infpub.dat == #BADRABBIT "pushed" lateralmente (¿bloquea la ejecución para inocularse?). Al parecer, crear una versión de solo lectura de este archivo    puede detener la infección:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Análisis del componente flash_install.php:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Video en acción: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Al parecer, borra los registros de Windows y el journal del sistema de archivos
¿También instala un keylogger?
¿Limpia el sector de arranque y pone kernel al final de la unidad?
Podría ser una variante de Diskcoder
Los C&C y los dominios del payload fueron instalados previamente con mucha antelación:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    El 13% del código es reusado de NotPetya
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
10 diferencias entre el código de Petya y el de BadRabbit:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Análisis interactivo de BadRabbit.exe:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Regla de Yara (creada por un ingeniero de McAfee)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Referencias de cultura contenidas
        Dragones de Game of Thrones (Drogon, Rhaegal)
        Película de hackers (al final de la lista de contraseñas hardcodeadas)



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Me pregunto si colocando "Recordarme más tarde" encripta igual...