El 24 de octubre apareció el ransomware BadRabbit afectando principalmente a usuarios de Rusia y Ucrania.
Todos los clientes de Panda Security han estado protegidos frente a esta amenaza sin necesidad de actualizar sus productos.

A finales de junio, un ciberataque global causado por el malware NotPetya, con origen en Rusia y Ucrania, afectó a miles de ordenadores de empresas en más de 60 países. Hoy el miedo ante un nuevo ciberataque global se cierne sobre las infraestructuras críticas de estos dos países (también en Turquía y Alemania, aunque en menor medida) después de que cerca de 200 de sus empresas se hayan visto afectadas por el malware bautizado como ‘Bad Rabbit’.

Sobre ‘Bad Rabbit’

Tiene similitudes con WannaCry y Petya, aunque es seguro que no alcanzará el nivel de propagación de estos.

Hasta ahora se ha distribuido a través de páginas web comprometidas, que solicitan al usuario instalar una falsa actualización de Flash Player. Una vez instalado en los equipos pide un rescate para recuperar el acceso a los datos.

La forma de operar es similar a la de otros de tipos de ransomware: encripta el contenido del equipo y exige un pago, en este caso de 0.05 bitcoins (unos 240€), a cambio de poder volver a tener acceso a la información.

Lo que hace que este malware sea más peligroso que los típicos ataques de ransomware que se distribuyen de manera similar, es su capacidad de propagación a través de la red interna de la empresa.

PandaLabs ha analizado y categorizado esta amenaza a fondo, y la define como W32/Ransom.G.worm. Estos son los principales ficheros de los que se compone (MD5 – Nombre del fichero):

fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe
1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat
b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe

Su predecesor GoldenEye/NotPetya en principio aparentaba ser un ransomware al estilo de WannaCry, pero un análisis en profundidad reveló que sus autores realmente no tenían intención de dejar que la información secuestrada fuera recuperada, sino de eliminarla completamente. Pero en este nuevo caso hemos comprobado que secuestran la información y efectivamente su objetivo es el rescate económico.

Detalles técnicos

Estamos ante un ransomware muy parecido al NotPetya. Una de las principales diferencias, además de no usar el exploit EternalBlue, es que han cambiado la forma de cifrar el disco.

Por lo que hemos observado hasta el momento, el vector de entrada es a través de páginas web comprometidas, haciéndose pasar por una actualización del Flash Player. Es el propio usuario el que tiene que descargarse y ejecutar el fichero. Una vez ejecutado, extrae el fichero en C:\Windows\infpub.dat -en realidad el ficheros es una dll- y lo ejecuta con el siguiente comando: rundll32.exe C:\Windows\infpub.dat,#1 15

Para más detalles, descárgate el informe técnico de PandaLabs.

Los clientes de Panda Security pueden estar tranquilos

Desde las primeras evidencias de este ataque, en la noche del 24 de octubre en Europa, nuestro laboratorio advirtió sus primeros intentos gracias a Panda Adaptive Defense.

La monitorización continua de absolutamente todos los procesos y las capacidades avanzadas de prevención, detección y remediación, han permitido detectar y bloquear la amenaza antes incluso de que intentara activarse. De esta forma, pudimos analizar la amenaza y diseccionar el malware para replicar las capacidades de desinfección en toda la gama de productos de Panda Security.

Así podemos certificar una vez más que ninguno de nuestros clientes ha sido afectado por esta nueva amenaza, ya que todas nuestras soluciones protegen frente a esta amenaza automáticamente sin necesidad de aplicar actualización alguna.

Panda Security vuelve a posicionarse como el proveedor de servicios de seguridad avanzados más eficaz del mercado.

Seguiremos ampliando la información.