Bad Rabbit: Prepare-se para esta nova epidemia de ransomware
Um novo malware, apelidado de Bad Rabbit, está se disseminando rapidamente em diferentes países. Empresas de segurança já o identificaram como uma forma de ransomware, pois ele criptografa dados de host, exigindo um resgate de 0,05 bitcoins - cerca de R$ 1 mil - como pagamento para liberar a chave de recovery (recuperação) dos arquivos sequestrados.
Os ataques foram iniciados na Rússia e Ucrânia e ganharam volume na última terça-feira (24). No entanto, outros países como Turquia, Bulgária, Japão e Alemanha também tiveram registros de ataques afetando organizações e consumidores. No Brasil, empresas do setor de comunicação e outras áreas também notificaram ataques do Bad Rabbit.
O fato de outro ataque importante atingir a Ucrânia não surpreende, considerando que o serviço de segurança do país alertou, no início deste mês, sobre um possível ciberataque de grande escala em organizações estatais e empresas privadas. A agência disse que o objetivo do ataque seria interromper os sistemas de TI e desestabilizar a situação no país.
Uma das mensagens requisitando o resgate dos dados para as vítimas sugere que a única forma de recuperar os arquivos é pagando o resgate
De acordo com os pesquisadores da fabricante de softwares de segurança Kaspersky, o ataque não utiliza exploits. Eles são feitos no modo drive-by, onde as vítimas baixam um falso instalador do Adobe Flash de sites infectados e, após executarem manualmente o arquivo.exe, o malware afeta seus computadores.
As mensagens enviadas às vítimas sugerem que apenas com o pagamento de resgate será possível recuperar os arquivos, mas não há nenhuma garantia de que a chave de descriptografia seja realmente enviada pelos atacantes. Por isso, há uma orientação de que as vítimas não efetuem nenhum pagamento.
De acordo com os pesquisadores da fabricante de softwares de segurança Kaspersky, o ataque não utiliza exploits. Eles são feitos no modo drive-by, onde as vítimas baixam um falso instalador do Adobe Flash de sites infectados e, após executarem manualmente o arquivo.exe, o malware afeta seus computadores.
As mensagens enviadas às vítimas sugerem que apenas com o pagamento de resgate será possível recuperar os arquivos, mas não há nenhuma garantia de que a chave de descriptografia seja realmente enviada pelos atacantes. Por isso, há uma orientação de que as vítimas não efetuem nenhum pagamento.
tradução: #BadRabbit foi espalhado pela web através de sites de notícia
comprometidos.
Lista com alguns sites comprometidos pelo Bad Rabbit. Em tradução livre: #BadRabbit foi espalhado pela web através de sites de notícia comprometidos
No momento, vários pesquisadores de segurança estão fazendo uma análise profunda para entender o funcionamento do Bad Rabbit e identificar se existem falhas no código que facilitem a recuperação dos arquivos.
A empresa de segurança ESET identificou que o malware atua como uma variante do ransonware NotPetya, também conhecido como Diskcoder, Petya, Petrwrap, exPetr e GoldenEye. Alguns relatos também mostram o Bad Rabbit explorando a mesma falha de SMB que o WannaCry utilizava para se espalhar. No entanto, nenhuma das informações foi confirmada por outros pesquisadores.
Para quem se interessar, o site Securelist, mantido por especialistas do Kaspersky Labs, fez uma demonstração da inteligência aplicada neste novo malware.
A seguir, listamos algumas medidas defensivas que devem ser aplicadas para se proteger do Bad Rabbit:
Desinstale o Flash
A empresa de segurança ESET identificou que o malware atua como uma variante do ransonware NotPetya, também conhecido como Diskcoder, Petya, Petrwrap, exPetr e GoldenEye. Alguns relatos também mostram o Bad Rabbit explorando a mesma falha de SMB que o WannaCry utilizava para se espalhar. No entanto, nenhuma das informações foi confirmada por outros pesquisadores.
Para quem se interessar, o site Securelist, mantido por especialistas do Kaspersky Labs, fez uma demonstração da inteligência aplicada neste novo malware.
A seguir, listamos algumas medidas defensivas que devem ser aplicadas para se proteger do Bad Rabbit:
Desinstale o Flash
Os instaladores e atualizações falsas do Flash funcionam como uma tática de engenharia social. Ao remover o Flash completamente, você não só se protege dos furos de zero-day, mas também elimina a tentação de baixar atualizações falsas e comprometer seus arquivos.
Instale patches de segurança
Surtos como NotPetya e WannaCry exploraram vulnerabilidades para as quais já haviam correções e patches atualizados disponíveis. Por isso, seja precavido e instale todos os patches de atualização que o seu sistema operacional requisitar.
Faça backups de seus arquivos
Faça backups regularmente de suas informações. Também mantenha um backup recente offline e offsite que possa ser acessado mesmo fora dos limites de onde está o computador. Isso poderá mantê-lo seguro mesmo que seu local de trabalho seja prejudicado por incêndios, inundações ou causas extraordinárias e não relacionadas ao malware.
Instale patches de segurança
Surtos como NotPetya e WannaCry exploraram vulnerabilidades para as quais já haviam correções e patches atualizados disponíveis. Por isso, seja precavido e instale todos os patches de atualização que o seu sistema operacional requisitar.
Faça backups de seus arquivos
Faça backups regularmente de suas informações. Também mantenha um backup recente offline e offsite que possa ser acessado mesmo fora dos limites de onde está o computador. Isso poderá mantê-lo seguro mesmo que seu local de trabalho seja prejudicado por incêndios, inundações ou causas extraordinárias e não relacionadas ao malware.
Cuidado com as concessões de acesso
Usuários comuns não devem ter concessões de acesso administrativo. Se necessário, promova-os para uma conta de administrador para a execução de tarefas pontuais e renuncie a esses privilégios assim que possível. Se a vítima tiver acesso de administrador nos outros computadores da rede, um malware como o Bad Rabbit pode se espalhar sem sequer precisar adivinhar senhas.
Bloqueie a execução de arquivos
Bloqueie a execução de arquivos como c:\windows\infpub.dat e c:\Windows\cscc.dat. e, caso seja possível fazer isso em seu ambiente, desabilite o serviço WMI para impedir que o malware se espalhe pela sua rede.
Não pague o resgate
É muito importante não pagar o resgate para recuperar seus arquivos sequestrados. Embora a mensagem cause uma tensão nesse sentido e dê esperança de obter suas informações de volta, o pagamento não garante que os dados serão realmente devolvidos.
0 comentários: