Bad Rabbit: ao contrário do ExPetr, não é um wiper, dizem investigadores da Kaspersky Lab


Investigadores da Kaspersky Lab confirmam que, ao contrário do ExPetr, o Bad Rabbit não é um wiper. Análises ao algoritmo do malware sugerem que os hackers possuem os meios de desencriptação necessários para a recuperação do disco.

No caso do ExPetr, é impossível extrair informações de identificação da infeção usada para a chave de desencriptação da informação. Pelo contrário, os responsáveis pelo Bad Rabbit, podem usar a sua chave pessoal para desencriptar a informação e enviá-la à vítima, de acordo com os analistas da Kaspersky Lab.

Os investigadores também descobriram que o código de ransomware do Bad Rabbit não contém os erros típicos que poderiam ser utilizados para desencriptar os ficheiros das vítimas. Não há forma de desencriptar a informação sem a chave pessoal dos hackers. No entanto, os especialistas encontraram uma falha no código dispci.exe, o que significa que o malware não apaga a palavra-passe gerada pela memória – o que cria uma ínfima possibilidade de a extrair.

A Kaspersky Lab confirmou ontem que o ataque de ransomware Bad Rabbit está associado aos criadores do ataque ExPetr que ocorreu em junho deste ano. Ambos os ataques usam os mesmos domínios, e existem semelhanças nos respetivos códigos fonte. De acordo com a análise, o algoritmo de hash utilizado no ataque do Bad Rabbit é similar ao usado pelo ExPetr e, tal como este, o Bad Rabbit tenta aceder às credenciais da memória do sistema e expandir-se dentro da rede corporativa através de WMIC. No entanto, investigadores não encontraram o exploit EternalBlue no ataque do Bad Rabbit, que havia sido utilizado no ExPetr.

Inicialmente, investigadores da Kaspersky Lab afirmaram que o ransomware é disseminado através de um ataque drive-by (de passagem). A vítima faz download de um instalador Adobe Flash falso de um website infetado e lança manualmente o ficheiro .exe, infetando-se a ela própria. Investigadores detetaram um número de sites comprometidos, todos de meios noticiosos.

O Bad Rabbit atingiu quase 200 alvos, localizados na Rússia, Ucrânia, Turquia, Alemanha, Cazaquistão e China. Todos os ataques tiveram lugar a 24 de outubro, e novos ataques foram detetados desde então. O principal servido, 1dnscontrol[.]com, através do qual o dropper do Bad Rabbit foi distribuído, tem estado em baixo desde 24 de outubro (hora de Moscovo).

Mais informação em: https://securelist.com/bad-rabbit-ransomware/82851/

João Gata

Começou em vídeo e cinema, singrou em jornalismo, fez da publicidade a maior parte da vida, ainda editou discos e o primeiro dos livros e, porque o bicho fica sempre, juntou todas estas experiências num blogue.

View all posts

Add comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

VOICEBOX é um Blogue de João Gata

Siga o VoiceBox

QUAL O MELHOR SMARTWATCH 2017?

A ESTREIA EM DUAS RODAS

Vídeo da semana