We trust in security

Blog

We trust in security - Blog
Andreu Mont
Bad Rabbit

El ransomware sigue siendo una de las amenazas más complejas a la que se enfrenta una compañía. Este 2017 hemos tenido varios casos notorios, como el del Wannacry y el Petya , que afectaron a múltiples empresas en todo el mundo.

Hace pocos días, se ha detectado una nueva amenaza en la red del tipo ransomware llamada Bad Rabbit, que afecta exclusivamente a equipos Windows. Este ataque no usa ‘exploits’, es decir que no se aprovecha de fallas en los sistemas operativos. Este nuevo virus utiliza un vector de ataque a través de una falsa actualización de Adobe Flash Player. Es decir, es un ataque ‘drive-by’, que requiere de la acción de las víctimas. Bad Rabbit necesita que se descargue y ejecute el virus, que viene en forma de un archivo instalable de Adobe Flash Player. Una vez infectada una máquina dentro de la red, puede llegar a obtener las credenciales del sistema y utilizarlas para propagarse mediante SMB a otros equipos y por lo tanto afectar a más usuarios dentro de una red.

Como todo ransomware, una vez tiene la información cifrada, solicita un rescate para recuperarla. Dicho pago es de 0.05 Bitcoin (unos 300 dólares) a cambio de la clave. Bad Rabbit ya ha causado afectación en varios países de Europa del Este (entre ellos, Ucrania y Rusia), aunque es muy fácil que continúe ampliando sus horizontes.

 

Es difícil para una compañía poder estar preparada ante un ataque de ransomware pero hay ciertas tecnologías Endpoint, como Cylance, que puede proteger de forma automática al usuario ofreciendo un control y prevención ante este tipo de ataques que cada vez utiliza técnicas más sofisticadas.

Cylance

Esta nueva solución es lo último en el mercado para prevenir ataques ransomware. Está basada en Inteligencia Artificial, Machine Learning y algoritmos matemáticos, y bloquea las amenazas de forma proactiva y en tiempo real antes de que causen daño y sin necesidad de conexión a Internet.

En el siguiente link se puede obtener más información en detalle sobre el análisis realizado por el equipo técnico de Cylance:

En caso de no disponer de un Endpoint como Cylance, las medidas genéricas que se pueden tomar de forma preventiva serían las siguientes:

Bloquear la ejecución de los archivos [Más información] c:\windows\infpub.dat, c:\Windows\cscc.dat y c:\Windows\dispci.exe.

Desactivar el servicio WMI (si es posible en tu entorno) [Más información] para prevenir que el malware se extienda por tu red.


Adicionalmente, Christian Beek ha publicado la siguiente regla de Yara. Facilitamos link de su instalación en diferentes sistemas operativos y de la regla publicada para ejecutarla:

import "pe"

rule sig_8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 {

meta:

description = "Bad Rabbit Ransomware"

author = "Christiaan Beek"

reference = "BadRabbit"

date = "2017-10-24"

hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93"

strings:

$x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide

$x2 = "need to do is submit the payment and get the decryption password." fullword ascii

$s3 = "If you have already got the password, please enter it below." fullword ascii

$s4 = "dispci.exe" fullword wide

$s5 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide

$s6 = "Run DECRYPT app at your desktop after system boot" fullword ascii

$s7 = "Enter password#1: " fullword wide

$s8 = "Enter password#2: " fullword wide

$s9 = "C:\\Windows\\cscc.dat" fullword wide

$s10 = "schtasks /Delete /F /TN %ws" fullword wide

$s11 = "Password#1: " fullword ascii

$s12 = "\\AppData" fullword wide

$s13 = "Readme.txt" fullword wide

$s14 = "Disk decryption completed" fullword wide

$s15 = "Files decryption completed" fullword wide

$s16 = "http://diskcryptor.net/" fullword wide

$s17 = "Your personal installation key#1:" fullword ascii

$s18 = ".3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg." wide

$s19 = "Disable your anti-virus and anti-malware programs" fullword wide

$s20 = "bootable partition not mounted" fullword ascii

condition:

( uint16(0) == 0x5a4d and

filesize < 400KB and

pe.imphash() == "94f57453c539227031b918edd52fc7f1" and

( 1 of ($x*) or 4 of them )

) or ( all of them )

}