Novo ransomware, “Bad Rabbit” atinge Rússia e Ucrânia

Novo ransomware, “Bad Rabbit” atinge Rússia e Ucrânia
25 out

Um novo ataque de ransomware chamado de “Bad Rabbit” está varrendo a Rússia e a Ucrânia, entre outros países do Leste Europeu, de acordo com várias notícias locais.

Ainda é cedo demais para dizer o alcance do ataque ou todos que foram atingidos até agora, mas uma série de relatos de ataques à infraestrutura e ao transporte ucranianos fizeram soar os alarmes.

A firma de cibersegurança russa Group-IB relata que pelo menos três veículos de imprensa russos foram atacados, contando também “instituições estatais e objetos estratégicos na Ucrânia como vítimas”. A firma contou à Motherboard que um aeroporto em Odessa, o metrô de Kiev e o ministério da Infraestrutura da Ucrânia foram todos afetados por um “novo ciberataque em massa”.

A agência de notícias russa Interfax anunciou no Twitter que estava trabalhando para restaurar seus sistemas depois de os hackers derrubarem seus servidores.

O processo de infecção começa com um falso instalador Adobe Flash que é baixado de sites comprometidos. Este falso instalador do Flash mantém a carga real do ransomware em uma sobreposição compactada com ZLIB. Uma vez descriptografado, ele cai e executa o ransomware real (identificado como b14d8faf7f0cbcfad051cefe5f39645f).

Bad Rabbit é extremamente similar com GoldenEye / NotPetya, tanto estruturalmente como com foco mais amplo. Destina-se à infra-estrutura crítica da Ucrânia e é altamente viral devido à sua implementação da Mimikatz, que permite que ela mude de uma estação de trabalho infectada para outra em toda a organização. Ele também possui criptografia de disco através do driver DiskCryptor para que ele possa interferir com o processo de inicialização normal e impedir que o computador seja iniciado.