Bad Rabbit: Otra epidemia de ransomware en aumento

PUBLICACIÓN CON ACTUALIZACIONES EN DIRECTO. El mundo está siendo víctima de otra epidemia de ransomware. Se llama Bad Rabbit y esto es lo que sabemos hasta ahora.

La publicación se actualizará conforme nuestros expertos vayan descubriendo nueva información sobre el malware.

Este año ya hemos vivido dos ataques de ransomware, el de WannaCry y el de ExPetr (también conocidos como Petya y NotPetya), y al parecer, tenemos un tercer ataque a la vista: el nuevo malware se llama Bad Rabbit, o al menos ese es el nombre que dan en la web de la darknet a la que enlaza su nota de rescate.

Lo que se sabe hasta ahora es que el ransomware ha infectado varios medios de comunicación rusos; la agencia de noticias Interfax y Fontanka.ru fueron confirmadas como víctimas del malware. El Aeropuerto Internacional de Odesa informó de un ciberataque en su sistema de información, aunque aún no está claro que se trate del mismo ataque.

Los delincuentes responsables del ataque Bad Rabbit piden 0.05 bitcoins como rescate, unos 280 dólares con el cambio actual.

De acuerdo con nuestros hallazgos, el ataque no usa exploits, sino que se trata de un ataque drive-by: las víctimas descargan un instalador falso de Adobe Flash desde una web infectada y ejecutan el archivo .exe ellos mismos. Nuestros investigadores han detectado varias páginas web comprometidas, todas de prensa.

Todavía no se sabe si es posible recuperar los archivos que cifró Bad Rabbit (ya sea pagando el rescate o mediante algún error en el código del ransomware). Los expertos de Kaspersky Lab están investigando el ataque y actualizarán esta publicación con sus conclusiones.

De acuerdo con nuestros datos, muchas de las víctimas de estos ataques están en Rusia. También vimos ataques similares, aunque pocos, en Ucrania, Turquía y Alemania. Este ransomware infectó los dispositivos mediante varias webs rusas de prensa que fueron hackeadas. Basándonos en nuestra investigación, también se trata de un ataque dirigido contra redes corporativas y utiliza métodos similares a los empleados en el ataque ExPetr, aunque no podemos confirmar si guardan relación. Seguiremos investigando y, mientras tanto, puedes encontrar más información técnica en esta publicación de Securelist.

Los productos de Kaspersky Lab detectan el ataque con la siguiente denominación:

UDS:DangerousObject.Multi.Generic (si lo detecta Kaspersky Security Network) y PDM:Trojan.Win32.Generic (si lo detecta System Watcher).

Para evitar ser una víctima de Bad Rabbit:

Los usuarios de los productos de Kaspersky Lab deben:

  • Asegurarse de tener activados tanto System Watcher como Kaspersky Security Network.

Otros usuarios deben:

  • Bloquear la ejecución de los archivos c:\windows\infpub.dat y c:\Windows\cscc.dat.
  • Desactivar el servicio WMI (si es posible en tu entorno) para prevenir que el malware se extienda por tu red.

Consejos para todos:

  • Hacer copias de seguridad de los datos.
  • No pagar el rescate.
Consejos