0

El ‘ransomware’ Bad Rabbit es ya un ciberataque mundial

bad-rabbit-ransomware-screen_2Las redes de grandes organizaciones de países como Rusia, Ucrania, Turquía y Alemania han sido las primeras en verse afectadas con al menos 200 víctimas atacadas por esta nueva modalidad de ransomware a la que se le ha denominado Bad Rabbit.

Las compañías especializadas en soluciones de ciberseguridad, entre las que se encuentran Kaspersky Labs, ESET o Proofpoint destacan que el ataque se propaga a través de una actualización falsa de Adobe Flash. Además, procede de la misma forma que ya hicieran sus anteriores Petya o WannaCry, de tal manera que una pantalla en forma de mensaje se encarga de advertir al usuario de que su ordenador está infectado y que debe pagar un montante de 281 dólares (0,05 bitcoins) para que el equipo cifrado pueda ser recuperado. Un contador de tiempo hacia atrás informa de que una vez transcurrido ese período, el precio del rescate se incrementará.

El medio de comunicación ruso Interfax fue el que levantó las alarmas al ser el primero en comunicar que sus servidores estaban offline debido a un ciberataque. La agencia de noticias utilizaba la red social de Facebook para emitir el comunicado mientras trataba de recuperarse del golpe. A su vez, otra firma de seguridad rusa, conocida como Group-IB, publicaba una captura de pantalla del nuevo ransomware al que ya se le conoce como Bad Rabbit. Desde su descubrimiento, más de 200 organizaciones se habrían visto afectadas entre las que se encuentran el aeropuerto Odessa de Ucrania, el ministerio de infraestructuras de Ucrania, o el metro de Kiev.

BadRabbit: todo lo que sabemos
A decir verdad, la nueva modalidad de ransomware se está extendiendo por Europa como un reguero de pólvora afectando ya a más de 200 grandes organizaciones, principalmente con sede en Rusia, Ucrania, Turquía y Alemania. Principalmente, afecta a las redes corporativas y exige como rescate la cifra de 285 dólares en moneda bitcoin para proceder con el desbloqueo de los sistemas afectados.

Desde ESET destacan que el malware Bad Rabbit podría ser una variante de Petya, también conocidacomo Petrwrap, NotPetya, exPetr y GoldenEye, debido a que aparece como Win32 / Diskcoder.D.

Se vale de DiskCryptor, un software de código abierto para el cifrado de unidades completas, para cifrar los archivos mediante claves RSA 2048. Se cree que la nueva oleada de ataques de ransomware no está utilizando el exploit EternalBlue, la vulnerabilidad SMB filtrada que fue utilizada por los ransomware WannaCry y Petya para propagarse a través de las redes.

Bad Rabbit escanea la red interna de la organización en busca de recursos compartidos SMB abiertos. A continuación, prueba una lista codificada de credenciales utilizadas comúnmente para descartar el malware y utiliza una herramienta adicional para extraer las credenciales de los sistemas afectados.

Los investigadores todavía están analizando Bad Rabbit para comprobar si hay una forma de descifrar los equipos sin pagar el rescate exigido.

¿Cómo prevenir ataques de ransomware?
Desde la firma de seguridad Kaspersky Lab sugieren deshabilitar el servicio WMI para evitar que el malware se propague a través de cualquier red. La mayoría de ransomware se propaga a través de correos electrónicos con phishing, anuncios maliciosos en sitios web, así como aplicaciones y programas de terceros. Por lo tanto, conviene tener precaución al abrir documentos procedentes de terceros no enviados a través de un correo electrónico conocido, así como el verificar la fuente para prevenir la infección. También aconseja la compañía el hecho de no descargar ninguna aplicación de fuentes de terceros procedentes de tiendas de Apps no oficiales.

Por último y no menos importante, está la labor de realizar habitualmente copias de seguridad en diversos dispositivos, recalcando el contar con alguno de almacenamiento externo que no se encuentre conectado a Internet de manera continua.

Microsoft ha liberado una guía específica para que los administradores de redes estén informados y puedan hacer frente a esta nueva ciberamenaza, incluyendo una nota de los registros de eventos ID 1102 y 06.

IDG.es

Ordenado por: Malware Tags: 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2017 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB