Actualmente está en curso un ataque de ransomware, el cual está afectando a países de Europa Oriental con lo que parece ser una variante del ransomware Petya, denominada Bad Rabbit (que detectamos como RANSOM_BADRABBIT.A). Los productos de Trend Micro que utilizan la seguridad XGen™ junto con la tecnología de Machine Learning habilitada, detectan proactivamente este ransomware como TROJ.Win32.TRX.XXPE002FF019 sin la necesidad de actualizar el patrón.
Este ataque se presenta a tansolo unos meses después de la epidemia de Petya, que afecto a Europa en el mes de Junio.
Los reportes iniciales incluyeron entre las principales víctimas a sistemas de transporte y medios de comunicación de Ucrania y Rusia. La sección ucraniana de CERT (CERT-UA) emitió también una alerta de posibles ataques de ransomware.
Análisis Inicial
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/10/Bad_Rabbit-Infection-Chain-v1_02.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”1682″ height=”1034″]
Figura 1: Cadena de infección de Bad Rabbit
Nuestros análisis iniciales reportan que Bad Rabbit se propaga a través de ataques tipo watering hole que llevan a un instalador de Flash falso: “install_flash_player.exe”. A los sitios comprometidos se les inyecta un script que contiene una URL que lleva a hxxp://1dnscontrol[.]com/flash_install, el cual no es posible acceder en el momento de publicar este blog. Hemos observado algunos sitios comprometidos en Dinamarca, Irlanda, Turquía y Rusia, donde se distribuyó el instalador de Flash falso.
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/10/bad-rabbit-2.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”5″ width=”917″ height=”225″]
Figura 2: El código muestra el script inyectado
Una vez que se da clic en el instalador falso, instala el archivo que realiza la encripción infpub.dat usando el proceso rundll32.exe, junto con el archivo dispci.exe, que se encarga de la desencripción. Como parte de su rutina, Bad Rabbit utiliza tres archivos que hacen referencia a la serie Game of Thrones, los cuales comienzan con rhaegal.job que es responsable de ejecutar el archivo de encripción, así como un segundo archivo job, drogon.job, responsable de apagar la máquina de la víctima. El ransomware procederá entonces a encriptar los archivos del sistema, así como mostrar la nota de rescate que se muestra arriba.
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/10/bad-rabbit-1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”5″ width=”601″ height=”388″]
Figura 3: La nota de rescate de Bad Rabbit muestra la llave de instalación
Un tercer archivo, viserion_23.job, se emplea para reiniciar el sistema una segunda vez, después de lo cual se bloquea la pantalla y aparece la siguiente nota:
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/10/bad-rabbit-3-1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”5″ width=”808″ height=”507″]
Figura 4: Nota de rescate de Bad Rabbit que se muestra después de reiniciar el sistema
De acuerdo con nuestro análisis inicial, Bad Rabbit se propaga a otras computadoras utilizando la red e instalando copias de sí mismo empleando su nombre original y ejecutando las copias instaladas mediante el uso de Windows Management Instrumentation (WMI) y Service Control Manager Remote Protocol. Cuando se utiliza éste último, se lanza un ataque de diccionario con las credenciales robadas.
Entre las herramientas que Bad Rabbit incorpora está la utilería de código abierto Mimikatz, que se emplea para la extracción de credenciales. Asimismo, hemos descubierto evidencia de que Bad Rabbit utiliza DiskCryptor, una herramienta válida de encripción de discos, para cifrar los sistemas objetivo.
Es importante considerar que Bad Rabbit no explota ninguna vulnerabilidad, a diferencia de Petya que utilizó EternalBlue como parte de su rutina.
Exploit personalizado
EternalSynergy, así como otros exploits lanzados por Shadow Brokers, son muy versátiles ya que las mismas técnicas se pueden aplicar a diferentes exploits. EternalRomance, EternalChampion y EternalSynergy, por ejemplo, comparten métodos de explotación comunes. En el caso de Bad Rabbit, el leak memory del exploit utiliza la misma técnica que el exploit orignal de EternalSynergy y EternalChampion, lanzados originalmente por Shadow Brokers.
Suponemos que el exploit utilizado en Bad Rabbit es una versión personalizada de EternalSynergy, ya que comparte la misma técnica de Memory Leak que usa EternalSynergy. Es la primera de las dos etapas principales involucradas en Bad Rabbit, como se muestra a continuación:
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/10/BadRabbit_EternalSynergy.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 5: Los fragmentos de código que muestran el exploit de Bad Rabbit (izquierda) y el actual EternalSynergy de Shadow Brokers (derecha) usando la misma técnica de memory leak.
Mitigación y Mejores Prácticas
Los usuarios pueden mitigar el impacto del ransomware como Bad Rabbit empleando mejores prácticas que pueden encontrarse en esta guía.
Soluciones de Trend Micro
La seguridad XGen™ de Trend Micro, ofrece una combinación intergeneracional de técnicas de defensa contra una gama completa de amenazas para data center, entornos de nube, redes y endpoints. Incluye high-fidelity machine learning con el propósito de proteger los datos y aplicaciones del gateway y los endpoints, así como proteger las cargas de trabajo físicas, virtuales y de nube. Con capacidades como el filtrado web/URL, el análisis de comportamientos y sandboxing a la medida, XGen™ protege contra las amenazas de hoy desarrolladas especialmente para evadir lo controles tradicionales, explotar las vulnerabilidades conocidas, desconocidas y no divulgadas, y robar o encriptar datos personalmente identificables. XGen™ es inteligente, optimizado y conectado, y potencia la suite de soluciones de seguridad de Trend Micro: Hybrid Cloud Security, User Protection y Network Defense.
Puede consultarse mayor información sobre las soluciones de Trend Micro en este artículo.
Los siguientes hashes SHA526 se detectaron como RANSOM_BADRABBIT.A:
- 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
- 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
Los hashes adicionales relacionados con este ransomware son los siguientes
install_flash_player.exe:
- 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
infpub.dat:
- 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
- 141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0
dispci.exe:
- 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
Actualizado el 25 de Octubre, 2017, 9:52 PM PDT para agregar más información técnica
Actualizado el 25 de Octubre, 11:34 PM PDT para agregar la cadena de infección
Actualizado el 31 de octubre, 11:48 AM PDT para agregar Exploit personalizado de EternalSynergy
Leave a Reply