Bad Rabbit, o novo sequestrador de computadores

badrabbit

Ransonware é o nome dado a um programa criado para “sequestrar” computadores. O funcionamento se assemelha muito a um sequestro de pessoas, uma vez que o programa tenha acesso ao seu computador ele impede que você o utilize e começa a criptografar os seus dados. Enquanto os dados do seu computador estiverem criptografados é impossível utilizá-lo, e a única coisa que pode ser visualizada é uma tela com as instruções de pagamento para o resgate. Uma vez que o pagamento seja efetuado os sequestradores liberam a chave que desfaz a criptografia dando o acesso do computador novamente ao usuário.

Agora é o “Bad Rabbit”, o novo ransonware que está causando problemas e já afetou sistemas de três websites russos, um aeroporto na Ucrânia e os sistemas de um metrô na capital Kiev.

Ainda não há um mapeamento de todas as formas de espalhamento desse novo sequestrador, em alguns casos foi observado que ele foi capaz de entrar nas máquinas através de uma notificação falsa de atualização do Flash que na verdade trazia o payload do programa, um componente típico de vírus de computadores que executa alguma atividade maliciosa no sistema em que é carregado.

eset-flash-update-bad-rabbit.png
Notificação falsa de atualização do Flash Player

É muito importante ressaltar que até o momento não foram reportados casos confirmados do ataque no Brasil, mas seguindo o comportamento do WannaCry e Petya, (dois programas sequestradores que já causaram bastante estrago em computadores de todo o mundo em 2017) é apenas uma questão de tempo para que ele chegue até aqui.

O valor atual do resgate é 0.05 bitcoin, o que equivale a £250, ou pouco mais de mil e setenta reais atualmente. Mas esse é o valor inicial, o Bad Rabbit encaminha as vítimas para uma página de pagamento na rede Tor com uma contagem regressiva, e caso o pagamento não seja feito no tempo estipulado, o valor do resgate aumentará.

badrabbit.png
Tela com instruções para o pagamento do resgate e contagem regressiva para o aumento do valor, caso não seja pago a tempo.

Uma vez que consiga infectar uma máquina o sequestrador tenta atingir outras da mesma rede, tentando uma lista de senhas que estão entre as piores como: “secret”, “123456”, “12345678”, “123456789”, “sex”, “qwerty” e outras das mais comumente usadas.

Sabemos também, que o programador, ou grupo de programadores, que criou o Bad Rabbit é provavelmente fã da série Game of Thrones, pois em seu código encontramos partes com referências como os nomes dos dragões “viserion” e “drogon”, o nome “rhaegal” e “Gray Worm” (Verme Cinzento) responsável por agendar tarefas no sistema operacional vítima.

kasperky-bad-rabbit-got-references.png
Trechos de código onde foram encontradas referências a série Game of Thrones

Em um relatório divulgado pela companhia de segurança russa Kaspersky, as observações sugerem que este ataque foi planejado para priorizar redes de computadores de corporações. Um comportamento curioso pois diferentemente do WannaCry que afetava qualquer computador ao seu alcance e que explorava uma vulnerabilidade específica, o Bad Rabbit não usa o EternalBlue, aparentemente afetando somente alguns alvos específicos. Grupos de especialistas trabalham no momento tentando identificar o tipo de ideologia por trás desta ação, pois isso poderia dar uma pista a respeito dos alvos deste grupo e de possíveis novos ataques no futuro. Apesar de nenhum grupo ter assumido a autoria do ataque, já é possível saber que uma vez que uma máquina esteja em posição de se tornar vítima, trechos do script determinam se essa máquina é ou não um alvo de interesse.

Diferentemente do Petya (NotPetya como também é conhecido) que atacou inicialmente a Ucrânia, o Bad Rabbit parece ter iniciado seus ataques especificamente na Rússia, apesar disso ele já se espalhou para outros países do leste europeu como a Polônia e a Bulgária.

Apesar da forma de propagação menos sofisticada que outros sequestradores, o Bad Rabbit não deve ser ignorado ou subestimado, ele precisa que o usuário o acione para iniciar suas atividades de sequestro, mas uma vez iniciado ele pode ser bastante problemático.

Formas de se prevenir:

Evite acessar atualizações desconhecidas, se você estiver em um computador corporativo busque ajuda do departamento de tecnologia da informação, caso sua empresa já não tenha políticas restritivas de acesso a instalações por parte dos usuários.
Utilizar senhas fortes é outra recomendação recorrente e que pode impedir a progressão do sequestro das máquinas na rede corporativa.

Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *