Bad Rabbit: a diferencia de ExPetr, no es un wiper, según la investigación de Kaspersky Lab

kaspersky_bad-rabbitKaspersky Lab confirma que, a diferencia de ExPetr, Bad Rabbit no es un wiper. A continuación, te resumo algunos datos de las últimas investigaciones:

* Los investigadores de Kaspersky Lab confirman que, a diferencia de
ExPetr, Bad Rabbit no es un wiper. El análisis del algoritmo de malware sugiere que los atacantes tienen los medios técnicos para descifrar la información necesaria para la recuperación del disco.

* En el caso de ExPetr, era imposible extraer la información de identificación de infección utilizada para la clave de descifrado de datos.
Los actores detrás de Bad Rabbit, sin embargo, pueden usar su propia clave privada para descifrar la información y enviarla a la víctima, según el análisis de Kaspersky Lab.

* Los investigadores también encontraron que el código de ransomware de Bad Rabbit no contiene el tipo de errores que podrían usarse para descifrar los archivos y datos de las víctimas. No hay forma de descifrar información sin la clave privada del atacante. Dicho esto, los expertos han encontrado un error en el código dispci. exe, lo que significa que el malware no borra la contraseña generada de la memoria, por lo que existe una pequeña posibilidad de extraerla.

* Kaspersky Lab confirmó ayer que el ataque de ransomware de Bad Rabbit está ligado a los creadores del ataque ExPetr que tuvo lugar en junio de este año. Ambos ataques usan los mismos dominios; y hay similitudes en los códigos fuente. Según su análisis, el algoritmo de hash utilizado en el ataque Bad Rabbit es similar al usado por ExPetr; y al igual que ExPetr, Bad Rabbit intenta hacerse con las credenciales de la memoria del sistema y difundirlas dentro de la red corporativa por WMIC. Sin embargo, los investigadores no han encontrado el exploit EternalBlue en el ataque de Bad Rabbit que se utilizó en ExPetr.

* Los expertos de Kaspersky Lab han informado que el ransomware se propaga a través de un ataque de descarga. Las víctimas descargan un falso instalador de Adobe Flash desde sitios web infectados e inician manualmente el archivo. exe, infectándose a sí mismas. Los investigadores detectaron una serie de sitios web comprometidos, todos medios de comunicación.

* Bad Rabbit alcanzó casi 200 objetivos, localizados en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China. Todos los ataques tuvieron lugar el 24 de octubre y no se han detectado nuevos ataques desde entonces. El servidor principal 1dnscontrol[.]com, desde el que se distribuyó Bad Rabbit, ha estado inactivo desde la noche del 24 de octubre (hora de Moscú).

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .