Bad Rabbit: Prepare-se para esta nova epidemia de ransomware

14:44 Leandro Narezi Tonello 0 Comentarios



Um novo malware, apelidado de Bad Rabbit, está se disseminando rapidamente em diferentes países. Empresas de segurança já o identificaram como uma forma de ransomware, pois ele criptografa dados de host, exigindo um resgate de 0,05 bitcoins - cerca de R$ 1 mil - como pagamento para liberar a chave de recovery (recuperação) dos arquivos sequestrados.

Os ataques foram iniciados na Rússia e Ucrânia e ganharam volume na última terça-feira (24). No entanto, outros países como Turquia, Bulgária, Japão e Alemanha também tiveram registros de ataques afetando organizações e consumidores. No Brasil, empresas do setor de comunicação e outras áreas também notificaram ataques do Bad Rabbit.

O fato de outro ataque importante atingir a Ucrânia não surpreende, considerando que o serviço de segurança do país alertou, no início deste mês, sobre um possível ciberataque de grande escala em organizações estatais e empresas privadas. A agência disse que o objetivo do ataque seria interromper os sistemas de TI e desestabilizar a situação no país.


Uma das mensagens requisitando o resgate dos dados para as vítimas sugere que a  única forma de recuperar os arquivos é pagando o resgate

De acordo com os pesquisadores da fabricante de softwares de segurança Kaspersky, o ataque não utiliza exploits. Eles são feitos no modo drive-by, onde as vítimas baixam um falso instalador do Adobe Flash de sites infectados e, após executarem manualmente o arquivo.exe, o malware afeta seus computadores.

As mensagens enviadas às vítimas sugerem que apenas com o pagamento de resgate será possível recuperar os arquivos, mas não há nenhuma garantia de que a chave de descriptografia seja realmente enviada pelos atacantes. Por isso, há uma orientação de que as vítimas não efetuem nenhum pagamento.

tradução: #BadRabbit foi espalhado pela web através de sites de notícia comprometidos.

Lista com alguns sites comprometidos pelo Bad Rabbit. Em tradução livre: #BadRabbit foi espalhado pela web através de sites de notícia comprometidos
No momento, vários pesquisadores de segurança estão fazendo uma análise profunda para entender o funcionamento do Bad Rabbit e identificar se existem falhas no código que facilitem a recuperação dos arquivos.

A empresa de segurança ESET identificou que o malware atua como uma variante do ransonware NotPetya, também conhecido como Diskcoder, Petya, Petrwrap, exPetr e GoldenEye. Alguns relatos também mostram o Bad Rabbit explorando a mesma falha de SMB que o WannaCry utilizava para se espalhar. No entanto, nenhuma das informações foi confirmada por outros pesquisadores.

Para quem se interessar, o site Securelist, mantido por especialistas do Kaspersky Labs, fez uma demonstração da inteligência aplicada neste novo malware.

A seguir, listamos algumas medidas defensivas que devem ser aplicadas para se proteger do Bad Rabbit:

Desinstale o Flash
Os instaladores e atualizações falsas do Flash funcionam como uma tática de engenharia social. Ao remover o Flash completamente, você não só se protege dos furos de zero-day, mas também elimina a tentação de baixar atualizações falsas e comprometer seus arquivos.

Instale patches de segurança
Surtos como NotPetya e WannaCry exploraram vulnerabilidades para as quais já haviam correções e patches atualizados disponíveis. Por isso, seja precavido e instale todos os patches de atualização que o seu sistema operacional requisitar.

Faça backups de seus arquivos
Faça backups regularmente de suas informações. Também mantenha um backup recente offline e offsite que possa ser acessado mesmo fora dos limites de onde está o computador. Isso poderá mantê-lo seguro mesmo que seu local de trabalho seja prejudicado por incêndios, inundações ou causas extraordinárias e não relacionadas ao malware.

Cuidado com as concessões de acesso
Usuários comuns não devem ter concessões de acesso administrativo. Se necessário, promova-os para uma conta de administrador para a execução de tarefas pontuais e renuncie a esses privilégios assim que possível. Se a vítima tiver acesso de administrador nos outros computadores da rede, um malware como o Bad Rabbit pode se espalhar sem sequer precisar adivinhar senhas.

Bloqueie a execução de arquivos
Bloqueie a execução de arquivos como c:\windows\infpub.dat e c:\Windows\cscc.dat. e, caso seja possível fazer isso em seu ambiente, desabilite o serviço WMI para impedir que o malware se espalhe pela sua rede.

Não pague o resgate
É muito importante não pagar o resgate para recuperar seus arquivos sequestrados. Embora a mensagem cause uma tensão nesse sentido e dê esperança de obter suas informações de volta, o pagamento não garante que os dados serão realmente devolvidos.

0 comentários: