Destacat »

25 octubre 2017 – 12:00

Certifica’t amb l’AQPE amb un 20% de descompte + un 10% si ets member abans del 31 de desembre!

Read the full story »
Col·legi

el Col·legi, informació rellevant sobre el COEINF, activitats, relacions i varis

Formació

formació continuada i orientació professional, convenis de formació amb altres entitats

Esdeveniments

tots els esdeveniments rellevants del sector TIC

Informes

informes, estudis, enquestes, … relacionats amb les tecnologies de la informació

Professió

món laboral, emprenedors, enginyers en informàtica, entrevistes, certificacions, deontologia, carreres professionals, …

Home » Notícies

BadRabbit, el nou ‘ransomware’ que es disfressa d’actualització d’Adobe

Submitted by on 31 octubre 2017 – 17:00No Comment
Share Button

Els experts detecten similituds claus amb NotPetya, l’epidèmia que va posar en escac a centenars d’organitzacions al juny.

Dimarts passat, el mitjà de comunicació rus Interfax va dir que els seus servidors van quedar inoperatius per un ciberatac. A partir d’aquest moment, els seus periodistes van haver de publicar les notícies a Facebook. Hores més tard, la firma de seguretat informàtica russa Group-IB va compartir una captura de pantalla d’un nou ransomware en acció anomenat BadRabbit i va confirmar que almenys altres tres mitjans de comunicació eren víctimes d’aquest atac el aparent i principal objectiu és el de demanar un rescat econòmic a canvi de la informació segrestada pel codi informàtic.

BadRabbit es basa en la mateixa estratègia que altres ciberatacs massius com WannaCry i NotPetya: xifrar els fitxers i demanar un rescat a efectuar en la cartera de Bitcoin suposadament controlada pels ciberdelinqüents. A diferència de NotPetya, que tenia un ànim clarament destructiu en lloc de lucratiu, aquest nou ciberatac sí que permet rescatar els fitxers ia cada víctima se li ofereix una cartera de Bitcoin diferent, pel que és més difícil de rastrejar.

Atac dirigit

La propagació del virus va començar a primera hora del 24 d’octubre, i la majoria d’intents d’infecció van aparèixer durant les dues primeres hores a Rússia, segons el rastre analitzat per l’empresa de seguretat Symantec. L’Equip de resposta d’emergència informàtica d’Ucraïna va confirmar una “distribució massiva” del virus al país.

“El nombre d’infeccions per BadRabbit és molt menor al causat per WannaCry o NotPetya, però les seves víctimes són objectius de primer nivell: aeroports, institucions estatals o estacions de metro ucraïneses i mitjans de comunicació russos”, diu Group-IB. “Es va intentar infectar la infraestructura bancària, però podem confirmar que sense èxit”.

El perfil de les víctimes i el modus operandi confirma que BadRabbit és un atac dirigit. El ransomware es va distribuir mitjançant simples descàrregues web en lloc d’un atac propagat massivament a la recerca de víctimes vulnerables com va passar a WannaCry. BadRabbit es va colar en els ordinadors emmascarat com una actualització rutinària d’Adobe Flash Player, programa encara molt utilitzat per al visionat de certs mitjans audiovisuals a la web, a través de les webs de premsa russes prèviament compromeses.

Un cop instal·lat a l’ordinador de la víctima, busca propagar-se a través del protocol de xarxa de Windows (SMB) emprant, a més, una eina capaç de canviar els privilegis de l’ordinador víctima dins de la xarxa local i una altra per treure les contrasenyes dels altres equips en text pla. Symantec no ha trobat evidències que indiquin l’ús de vulnerabilitats no pegats a Windows per propagar com va passar amb WannaCry.

Talos, el departament d’intel·ligència sobre seguretat informàtica de Cisco, i Symantec han confirmat en els seus informes tècnics que BadRabbit fa servir el exploit  EternalRomance per progagarse a la xarxa local a través de SMB en facilitar l’execució d’instruccions en clients i servidor. EternalRomance és una de les eines emmagatzemades per l’Agència Nacional de Seguretat nord-americana (NSA) i filtrada pel grup Shadow Brokers com va fer amb EternalBlue, la decisió de seguretat clau en la propagació massiva de WannaCry.

NotPetya es va propagar de forma similar, emprant el sistema d’actualitzacions de Médoc, el programari usat per l’administració ucraïnesa per fer certs tràmits burocràtics. Quan els ciberdelinqüents prenen el control de les actualitzacions, els ordinadors víctima creuen que és una actualització normal i legítima.

Segons la companyia de seguretat ESET, el 65% dels intents d’infecció s’han localitzat a Rússia, 12,2% a Ucraïna i 10.2% a Bulgària. Però també ha arribat al Japó, Alemanya o Turquia amb un impacte molt menor.

Els creadors de NotPetya, principals sospitosos

Group-IB diu que és “altament probable” que els hackers darrere de BadRabbit siguin els mateixos que van posar en escac a centenars d’organitzacions el juny passat amb NotPetya, que va afectar severament a les companyies energètiques, de telecomunicacions i del sector financer d’Ucraïna. “BadRabbit deixa els mateixos traços, fa servir la mateixa forma de propagar-se per les xarxes i deixa els mateixos registres en els seus processos d’eliminació, etc”, diu la firma russa. “La investigació revela que el codi de BadRabbit ha estat compilat a partir de les eines fonts emprades en NotPetya”.

Alguns investigadors indiquen que podria ser un altre el grup el responsable aprofitant el treball dels autors de NotPetya.

L’investigador independent mattieu Suiche conclou que el codi de BadRabbit no és només similar al d’NotPetya, sinó que és una versió recompilada que afegeix correccions d’errors i s’han reescrit altres per millorar-les.

FÉLIX PALAZUELOS – EL PAÍS

Etiquetes: ,

Aquesta web utilitza 'cookies' pròpies i de tercers per oferir-te una millor experiència i servei. Al navegar o utilitzar els nostres serveis, acceptes l'ús que fem de les 'cookies'. De tota manera, pots canviar la configuració de 'cookies' en qualsevol moment ACEPTAR
Aviso de cookies
Check Our FeedVisit Us On LinkedinVisit Us On TwitterVisit Us On Facebook