2017-10-30
O malware está associado aos criadores do ExPetr mas, ao contrário deste, a informação pode ser desencriptada por uma chave pessoal e enviada à vítima pelos hackers
|
Investigadores da Kaspersky Lab confirmam que, ao contrário do ExPetr, o Bad Rabbit não é um wiper. Análises ao algoritmo do malware sugerem que os hackers possuem os meios de desencriptação necessários para a recuperação do disco. No caso do ExPetr, é impossível extrair informações de identificação da infeção usada para a chave de desencriptação da informação. Pelo contrário, os responsáveis pelo Bad Rabbit podem usar a sua chave pessoal para desencriptar a informação e enviá-la à vítima, de acordo com os analistas da Kaspersky Lab. Os investigadores também descobriram que o código de ransomware do Bad Rabbit não contém os erros típicos que poderiam ser utilizados para desencriptar os ficheiros das vítimas. Não há forma de desencriptar a informação sem a chave pessoal dos hackers. No entanto, os especialistas encontraram uma falha no código dispci.exe, o que significa que o malware não apaga a palavra-passe gerada pela memória – o que cria uma ínfima possibilidade de a extrair. A Kaspersky Lab confirmou ontem que o ataque de ransomware Bad Rabbit está associado aos criadores do ataque ExPetr que ocorreu em junho deste ano. Ambos os ataques usam os mesmos domínios, e existem semelhanças nos respetivos códigos fonte. De acordo com a análise, o algoritmo de hash utilizado no ataque do Bad Rabbit é similar ao usado pelo ExPetr e, tal como este, o Bad Rabbit tenta aceder às credenciais da memória do sistema e expandir-se dentro da rede corporativa através de WMIC. No entanto, investigadores não encontraram o exploit EternalBlue no ataque do Bad Rabbit, que havia sido utilizado no ExPetr. Inicialmente, investigadores da Kaspersky Lab afirmaram que o ransomware é disseminado através de um ataque drive-by (de passagem). A vítima faz download de um instalador Adobe Flash falso de um website infetado e lança manualmente o ficheiro .exe, infetando-se a ela própria. Investigadores detetaram um número de sites comprometidos, todos de meios noticiosos. O Bad Rabbit atingiu quase 200 alvos, localizados na Rússia, Ucrânia, Turquia, Alemanha, Cazaquistão e China. Todos os ataques tiveram lugar a 24 de outubro, e novos ataques foram detetados desde então. O principal servidor, 1dnscontrol[.]comntão, através do qual o dropper do Bad Rabbit foi distribuído, tem estado em baixo desde e |
