Los informes iniciales vinculan a las principales víctimas con sistemas de transporte y medios de comunicación de Ucrania y Rusia. La rama ucraniana de CERT (CERT-UA) también ha emitido una advertencia alertando de posibles ataques de ransomware.
En su análisis inicial Trend Micro ha descubierto que Bad Rabbit se propaga a través del tipo watering hole(*) que dirigen al instalador de Flash falso "install_flash_player.exe". Los sitios comprometidos se inyectan con un script que contiene una URL que se resuelve en hxxp: // 1dnscontrol [.] Com / flash_install, y que esta inaccesible a partir del momento de la publicación.
En Trend Micro hemos observado algunos sitios comprometidos en Dinamarca, Irlanda, Turquía y Rusia, donde se entregó el instalador Flash falso. Una vez que se pincha en el instalador falso, se libera el archivo de cifrado infpub.dat utilizando el proceso rundll32.exe, junto con el archivo de descifrado dispci.exe. Como parte de su rutina, Bad Rabbit utiliza un trío de archivos que hacen referencia a la serie Juego de Tronos, comenzando con rhaegal.job, que es responsable de ejecutar el archivo de descifrado, seguido de un segundo archivo de trabajo, drogon.job, que es responsable de apagar la máquina de la víctima. Después, el ransomware procederá a cifrar ficheros en el sistema y mostrar la nota de rescate que se incluye a continuación.
Un tercer archivo, viserion_23.job, reinicia el sistema de destino por segunda vez. La pantalla se bloquea y se muestra la siguiente nota.
En base al análisis inicial de Trend Micro, Bad Rabbit se propaga a otros equipos en la red liberando copias de sí mismo en la red utilizando su nombre original y ejecutando las copias liberadas usando Windows Management Instrumentation (WMI) y Service Control Manager Remote Protocol. Cuando se utiliza Service Control Manager Remote Protocol, emplea ataques de diccionario para las credenciales.
Según se informa, entre las herramientas que Bad Rabbit incorpora está la utilidad de código abierto Mimikatz, que se utiliza para la obtención de credenciales. También se encuentra evidencia de la utilización de DiskCryptor, una herramienta de cifrado de disco legítima, para codificar los sistemas objetivo.
Es importante tener en cuenta que Bad Rabbit no explota ninguna vulnerabilidad, a diferencia de Petya que usó EternalBlue como parte de su rutina.
Mitigación y consejos prácticos
Los usuarios pueden paliar el impacto del ransomware como Bad Rabbit aplicando la serie de recomendaciones y consejos que se encuentran en la guía: Mejores prácticas contra el ransomware, de Trend Micro.
Soluciones de Trend Micro
Trend Micro XGen™ security ofrece una combinación intergeneracional de técnicas de defensa frente a una amplia variedad de amenazas para centros de datos, entornos cloud, redes y endpoints. Incorpora machine learning de alta precisión para asegurar los datos y las aplicaciones en el gateway y endpoint, además de proteger las cargas de trabajo físicas, virtuales y cloud. Con capacidades como de filtrado web/ URL, análisis de comportamiento y sandboxing personalizado, XGen™ protege contra las amenazas actuales diseñadas para evitar los controles de seguridad tradicionales, explotar vulnerabilidades conocidas, desconocidas o encubiertas, y robar o cifras datos de identificación personal. Inteligente, optimizada y conectada, la tecnología XGen™ potencia el conjunto de soluciones de seguridad de Trend Micro: Hybrid Cloud Security, User Protection y Network Defense.