Bad Rabbit: el ransomware Not-Petya está de vuelta y con algunas mejoras

Share this…

Un nuevo brote de ransomware atacó ayer a grandes infraestructuras en Ucrania, incluyendo al Metro de Kiev. Tal como prometimos ayer, hicimos un análisis más detallado y a continuación presentamos los hallazgos sobre esta nueva variante Diskcoder.D.

Drive-by download vía watering hole en sitios populares

Uno de los métodos de distribución de Bad Rabbit es un drive-by download. Algunos sitios populares son comprometidos usando la técnica watering hole y se les inyecta JavaScript en su HTML o en uno de sus archivos .js.

Aquí hay una versión pulida de la inyección:

Este script reporta los siguientes componentes a 185.149.120[.]3, que no parece responder en este momento.

  • User-Agent del navegador
  • Referrer
  • Cookie del sitio visitado
  • Nombre de dominio del sitio visitado

La lógica de programación del lado del servidor puede determinar si el visitante es un blanco de interés y luego añadir contenido en la página. Hemos visto, por ejemplo, cómo aparece una ventana emergente pidiendo descargar una actualización de Flash Player en el medio de la página.

Al hacer clic en el botón “Instalar”, se inicia la descarga de un archivo ejecutable desde 1dnscontrol[.]com. Este ejecutable, install_flash_player.exe, es el dropper de Win32/Filecoder.D.

Luego, la computadora finalmente se bloquea y aparece el pedido de rescate típico del ransomware:

Esta es la página para hacer el pago:

Propagación vía SMB

Win32/Diskcoder.D tiene la habilidad de propagarse a través del protocolo Server Message Block (SMB). A diferencia de algunos reportes que han estado circulando, no explota la vulnerabilidad EternalBlue como era el caso en el brote de Win32/Diskcoder.C (Not-Petya).

Fuente:https://www.welivesecurity.com/la-es/2017/10/25/bad-rabbit-not-petya-de-vuelta/