• (31) 3351-2223
  • [email protected]
  • Área do Cliente
  • Contato
Linkedin Facebook-f Instagram Twitter Youtube
  • Home
  • Prolinx
    • Sobre
    • Clientes
    • Parceiros
    • Responsabilidade Social
  • Segurança
    • Análise de Vulnerabilidade
    • Gestão de Vulnerabilidades | Prosec
    • Sophos
    • Soluções
  • Nuvem
    • Backup
    • Servidor
    • Microsoft Azure
    • Microsoft 365
    • Soluções
  • Serviços
    • Conexão Segura
    • Diagnóstico e Consultoria
    • Gestão de Data Center
    • Gestão de TI
    • Locação de Equipamentos
    • Soluções
  • LGPD
  • Eventos
  • Conteúdo
    • Blog
    • Ebooks
Menu
  • Home
  • Prolinx
    • Sobre
    • Clientes
    • Parceiros
    • Responsabilidade Social
  • Segurança
    • Análise de Vulnerabilidade
    • Gestão de Vulnerabilidades | Prosec
    • Sophos
    • Soluções
  • Nuvem
    • Backup
    • Servidor
    • Microsoft Azure
    • Microsoft 365
    • Soluções
  • Serviços
    • Conexão Segura
    • Diagnóstico e Consultoria
    • Gestão de Data Center
    • Gestão de TI
    • Locação de Equipamentos
    • Soluções
  • LGPD
  • Eventos
  • Conteúdo
    • Blog
    • Ebooks
  • antivírus, backup, ransomware, segurança

Bad Rabbit, novo surto de ransomware

  • 26/10/2017
Tempo de leitura: 5 minutos

Diversas empresas, principalmente no leste europeu, tiveram suas redes contaminadas por uma novo ransomware batizado “Bad Rabbit”. A motivação do ataque ainda não está clara, mas diversos detalhes sobre o ransomware e o seu funcionamento são conhecidos.

O QUE JÁ CONHECEMOS SOBRE O BAD RABBIT

1. O ransomware chega por meio de um download falso do Adobe Flash Player

Os responsáveis pelo ataque invadiram diversos sites para incluir neles um código que leva alguns dos visitantes a um download falso do Flash Player. A fabricante de antivírus bitdefender divulgou uma lista de alguns sites que se sabe que foram adulterados para contaminar os visitantes, mas é possível que outros sites além destes também estejam envolvidos.

A maioria das páginas são da Rússia e da Ucrânia, mas há também endereços do Japão, da República Checa, Romênia e Bulgária. 

Nenhuma vulnerabilidade é explorada no navegador do internauta. A vítima deve baixar executar o arquivo oferecido.

É possível que nem todos os visitantes recebam a janela de download, porque navegador envia algumas informações para um servidor de controle, que pode determinar quem receberá o golpe.

Vale observar que os principais navegadores modernos, como o Google Chrome e o Microsoft Edge, já incluem o Flash Player e, portanto, nenhum aviso sobre atualização do plug-in será verdadeira. Em outros navegadores, embora a instalação do Flash possa ser necessária, atualizações ela deve ser sempre feita a partir do site da Adobe.

Há ano na Internet sem o Flash Player: proteja-se desativando o plugin.

2. Depois de contaminar o PC, o Bad Rabbit se espalha pela rede

De acordo com a análise da Bitdefender, o Bad Rabbit é capaz de se espalhar para outros PC da rede usando credenciais de acesso. O ransomware traz no código alguns pares de usuários e senhas comuns para tentar acessar as outras máquinas, mas também usa uma ferramenta para roubar a senha de acesso do próprio usuário do computador.

Houve uma especulação de que o ransomware poderia utilizar a brecha EternalBlue (a mesma que foi usada pelo WannaCry), mas isso não foi encontrado.

3. O código do Bad Rabbit tem semelhanças com o ExPetr/NotPetya

Os especialistas consideram que há bastante semelhança entre o Bad Rabbit e o ransomware NotPetya, também chamado de ExPetr O NotPetya atacou empresas na Europa, principalmente na Ucrânia, a partir do sistema de atualização automática de um software ucraniano de contabilidade. O ataque ocorreu em junho de 2017.

O Bad Rabbit tem diferenças consideráveis, no entanto. A criptografia do disco rígido é realizada usando um componente do programa legítimo de código aberto DiskCryptor. Também é possível que a criptografia do Bad Rabbit possa sim ser revertida, enquanto o NotPetya – intencionalmente ou não – destruía a chave que permitiria recuperar os dados.

4. A maioria das vítimas estão na Rússia

Segundo informações, a maioria das vítimas estão na Rússia. A Bitdefender aponta que 65% dos sistemas infectados são russos. Também há registros de sistemas infectados na Ucrânia, Turquia e Japão.

Até o momento, não há casos registrados no Brasil.

5. O Bad Rabbit age como um “vírus de resgate”

Um vírus de resgate se caracterizada pelo “sequestro” das informações armazenadas no PC e a exigência de um pagamento para que seja recebida uma chave capaz de desbloquear os dados.

O Bad Rabbit se encaixa nessa definição e bloqueia não só os arquivos, como todo o PC. É a principal semelhança dele com os vírus Petya e NotPetya.

O valor de resgate solicitado pelo Bad Rabbit em Bitcoin é de 0,05 BTC, o que atualmente equivale a cerca de R$ 900,00.

6. O nome Bad Rabbit foi dado pelos criminosos

Muitos ransomwares são batizados com nomes diferentes daqueles que são dados pelos criminosos. Por exemplo, o WannaCry usava o nome de “Wana Decryptor”.

“Bad Rabbit” é exatamente o nome que foi usado pelos criminosos na página de pagamento do resgate.

O QUE AINDA É DÚVIDA SOBRE O BAD RABBIT

1. Não há consenso sobre o ataque ser direcionado

O ataque parece ter sido direcionado contra alvos corporativos e o ataque não parece ter nenhum alvo específico.

Embora se saiba que a página que distribui o ransomware tenha capacidade de “escolher” minimamente os alvos, não se sabe se de fato alguém está excluído de receber o ataque.

2. Os autores do ataque não são conhecidos

Como muitos ransomwares, não se sabe quem está por trás do Bad Rabbit.

Uma especulação chegou a apontar que o NotPetya seria sido obra do governo russo contra sistemas da Ucrânia. Essa visão ganhou com as acusações feitas por autoridades da Ucrânia de que a Rússia seria responsável pelo ataques que causaram blecautes no país.

Explicações sobre a origem, tanto do Bad Rabbit como do ExPetr/NotPetya, teriam de explicar também a semelhança entre os códigos usados.

3. Apesar de semelhanças, praga pode ser nova

Embora o Bad Rabbit e o NotPetya tenham semelhanças, é possível que a praga seja diferente o bastante para ser considerada um vírus novo.

O método de criptografia usado pelo novo ransomware ainda não foi completamente estudado, mas tudo indica que é diferente do vírus anterior. O NotPetya também fazia uso da falha EternalBlue para se espalhar dentro das redes das empresas atacadas, o que o novo ransomware também não faz.

Quando o ransomware NotPetya foi descoberto, em junho de 2017, especialistas inicialmente consideraram que a praga era uma nova versão do ransomware Petya. Depois, analistas  passaram a considerar que o código tratava-se de uma nova praga por conta das diferenças significativas em relação ao Petya. Da mesma forma, a descoberta de novas diferenças no comportamento do Bad Rabbit pode abrir um vão ainda maior entre ele e o NotPetya.

4. Não há confirmação de que pagar o resgate recupera os arquivos

A maioria dos vírus de resgate evita causar danos ao sistema operacional, já que o pagamento da recompensa costuma ser solicitado em Bitcoin via navegador Tor. Para fazer pagamentos nessas condições, a vítima precisa preferencialmente de um computador funcionando.

O Bad Rabbit, porém, inutiliza o PC. Além disso, ele exige que a vítima digite manualmente um código longo na página de recuperação. Mesmo quem quiser pagar a recompensa terá dificuldade para realizar o processo.

Não há relatos até o momento de que o pagamento da recompensa tenha permitido recuperar os arquivos.

WhatsApp
LinkedIn
Facebook
Twitter
Prolinx

Moderna e atenta às tendências do mercado mundial de Tecnologia, Segurança, Inovação e Nuvem.

Últimos posts
Firewall-De-Próxima-Geração-Da-Sophos

Por que escolher o Firewall de Próxima Geração da Sophos

27/06/2022
firewall corporativo

Firewall Corporativo: tudo o que você precisa saber sobre a ferramenta

08/06/2022
ataques de engenharia social

Ataques de Engenharia Social: saiba como proteger sua empresa

08/06/2022

Serviço de Firewall: o que é e por que contar com essa solução?

23/05/2022
Categorias
  • antivírus
  • backup
  • evento
  • Firewall
  • gestão
  • LGPD
  • licenciamento
  • microsoft
  • Notícias
  • nuvem
  • ransomware
  • segurança
  • servidor
  • Tecnologia
  • Uncategorized
Siga-Nos
Linkedin Facebook Instagram Twitter Youtube
Moderna e atenta às tendências do mercado mundial de Tecnologia, Segurança, Inovação e Nuvem.
Linkedin Facebook Instagram Twitter Youtube
Contato
  • Rua Três Pontas, 979, Carlos Prates
    Belo Horizonte - MG
    CEP: 30710-560
  • (31) 3351-2223
  • [email protected]
Receba nossas novidades em seu e-mail!

Site desenvolvido por Crux Marketing

Copyright © 2021 Prolinx | Todos os direitos reservados | Políticas de Privacidade