(http://www.whataloadoftosh.com/media/cache/project/cms/content/projects/wearebadrabbit/item558f6345b48d2/image)
Algunos han despertado hoy reviviendo viejas pesadillas con el ransomware... los sistemas del Metro de Kiev, el aeropuerto de Odessa y varias organizaciones en Rusia confirmaban que sus sistemas informáticos se habían visto bloqueados debido a que los archivos del sistema operativo habían sido cifrados por un ransomware, esta vez el turno es del denominado BadRabbit.
La amenaza se extiende a otros países de Europa del Este: Alemania, Turquía, Bulgaria, Montenegro... conviene fijar la mirada a este nuevo y lucrativo malware, para lo que me quedo con la síntesis del repositorio de Github de Royce Williams (https://gist.github.com/roycewilliams) y las noticias que van surgiendo.
BadRabbit es un ransomware que es capaz de propagarse de forma local a través de SMB. Para llevar a cabo el proceso de infección utiliza ingeniería social, haciéndose pasar por un instalador de Adobe Flash Player. Una vez haya infectado la computadora inicial, intentará esparcirse a través de la red local utilizando una lista de nombres de usuario y contraseñas, por lo que resulta determinante utilizar un nombre de usuario y sobre todo una contraseña que no sean sencillas de adivinar. Como método de esparcimiento de momento se descarta la utilización de la vulnerabilidad de SMB utilizada por WannaCry y NotPetya.
Bad Rabbit no solo cifra los ficheros personales que encuentre utilizando claves RSA 2048, añadiéndoles la extensión .encrypted, sino que además también cifra el MBR del disco duro utilizando DiskCryptor (https://diskcryptor.net/wiki/Main_Page), una herramienta de cifrado completo de disco Open Source. Para el pago del rescate pide 0,05 bitcoins que se tienen que pagar mediante la red Tor.
(https://4.bp.blogspot.com/-DWo0RTpXfW8/We_Gl84qjzI/AAAAAAAA_yg/dbyMHShdWSQ_cFSaCXWMwRhM3IRmGm0rgCLcBGAs/s1600/badrabbit.jpg)
Hasta ahora, es dirigido principalmente a Rusia y Ucrania, además de otros países (Alemania, Turquía, Bulgaria, Montenegro). Aunque parece que no se autopropaga a nivel mundial, podría dirigirse a objetivos seleccionados a propósito. Las mitigaciones son similares a las de Petya / NotPetya.
Infección inicialAparece como una actualización de flash falsa:
(https://www.redeszone.net/app/uploads/2017/10/Falsa-actualizaci%C3%B3n-Flash-Bad-Rabbit-655x306.png)
Es probable que las infecciones sean del tipo Watering-Hole/Drive-By, pero también pueden ser dirigidas selectivamente.
Lista de extensiones de archivo específicas
Imagen Tweet: https://twitter.com/craiu/status/922877184494260227 (https://twitter.com/craiu/status/922877184494260227)
Texto: https://pastebin.com/CwZfyY2F (https://pastebin.com/CwZfyY2F)
Componentes y métodos:Usa el binario legítimo y firmado de DiskCryptor para cifrar
Está casi confirmado que usa EternalBlue (o al menos activa controles que están a la espera de su uso)
Incorpora Mimikatz.
Da un mensaje de usuario "por favor apague el antivirus" en algunas circunstancias.
También se propaga a través de SMB y WebDAV, autopropagandose localmente: https://twitter.com/GossiTheDog/status/922875805033730048 (https://twitter.com/GossiTheDog/status/922875805033730048)
Usa una lista de credenciales hardcodeadas:https://pastebin.com/01C05L0C (https://pastebin.com/01C05L0C)
C:\WINDOWS\cscc.dat == DiskCryptor (¿bloquea la ejecución para inocularse?)
https://www.virustotal.com/#/file/682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806/details (https://www.virustotal.com/#/file/682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806/details)
C:\Windows\infpub.dat == #BADRABBIT "pushed" lateralmente (¿bloquea la ejecución para inocularse?). Al parecer, crear una versión de solo lectura de este archivo puede detener la infección:
https://twitter.com/0xAmit/status/922886907796819968 (https://twitter.com/0xAmit/status/922886907796819968)
Análisis del componente flash_install.php:
https://www.hybrid-analysis.com/sample/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da?environmentId=100 (https://www.hybrid-analysis.com/sample/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da?environmentId=100)
Video en acción: https://twitter.com/GossiTheDog/status/922858264534142976 (https://twitter.com/GossiTheDog/status/922858264534142976)
Al parecer, borra los registros de Windows y el journal del sistema de archivos
¿También instala un keylogger?
¿Limpia el sector de arranque y pone kernel al final de la unidad?
Podría ser una variante de Diskcoder
Los C&C y los dominios del payload fueron instalados previamente con mucha antelación:
https://twitter.com/mrjohnkelly73/status/922899328636735488 (https://twitter.com/mrjohnkelly73/status/922899328636735488)
https://twitter.com/craiu/status/922911496497238021 (https://twitter.com/craiu/status/922911496497238021)
El 13% del código es reusado de NotPetya
https://analyze.intezer.com/#/analyses/d41e8a98-a106-4b4f-9b7c-fd9e2c80ca7d (https://analyze.intezer.com/#/analyses/d41e8a98-a106-4b4f-9b7c-fd9e2c80ca7d)
10 diferencias entre el código de Petya y el de BadRabbit:
https://twitter.com/GroupIB_GIB/status/922958914089562112 (https://twitter.com/GroupIB_GIB/status/922958914089562112)
Análisis interactivo de BadRabbit.exe:
https://app.any.run/tasks/9198fd01-5898-4db9-8188-6ad2ad4f0af3 (https://app.any.run/tasks/9198fd01-5898-4db9-8188-6ad2ad4f0af3)
Regla de Yara (creada por un ingeniero de McAfee)
https://pastebin.com/Y7pJv3tK (https://pastebin.com/Y7pJv3tK)
Referencias de cultura contenidas
Dragones de Game of Thrones (Drogon, Rhaegal)
Película de hackers (al final de la lista de contraseñas hardcodeadas)
Fuente: blog.segu-info.com.ar