Ciberseguridad
Amenazas
ransomware
Kaspersky

Bad Rabbit no es un wiper, a diferencia de ExPetr

Tras analizar el algoritmo del malware, Kaspersky Lab confirma que, gracias a dicha amenaza, los atacantes tienen los medios técnicos para descifrar la información necesaria para la recuperación del disco.

ransomware

ExPetr, Bad Rabbit no es un wiper, a diferencia de ExPetr. Así lo advierte Kaspersky Lab tras analizar su malware. ¿Qué supone eso? Que los atacantes tienen los medios técnicos para descifrar la información necesaria para la recuperación del disco. No obstante, los actores que hay detrás de Bad Rabbit pueden usar su propia clave privada para descifrar la información y enviarla a la víctima.

Los investigadores del especialista en seguridad también encontraron que el código de ransomware de Bad Rabbit no contiene el tipo de errores que podrían usarse para descifrar los archivos y datos de las víctimas. Es decir, no hay forma de descifrar la información sin la clave privada del atacante. Dicho esto, los expertos han encontrado un error en el código dispci. exe, lo que significa que el malware no borra la contraseña generada de la memoria, por lo que existe una pequeña posibilidad de extraerla.

Justamente ayer, Kaspersky Lab confirmó que el ataque de ransomware de Bad Rabbit está ligado a los creadores del ataque ExPetr, que tuvo lugar en junio de este año. Ambos ataques usan los mismos dominios, y hay similitudes en los códigos fuente. Según su análisis, el algoritmo de hash utilizado en el ataque Bad Rabbit es similar al usado por ExPetr. Y, al igual que ExPetr, Bad Rabbit intenta hacerse con las credenciales de la memoria del sistema y difundirlas dentro de la red corporativa por WMIC. Sin embargo, los investigadores no han encontrado el exploit EternalBlue en el ataque de Bad Rabbit que se utilizó en ExPetr.

Asimismo, los expertos de Kaspersky Lab han informado que el ransomware se propaga a través de un ataque de descarga. Las víctimas descargan un falso instalador de Adobe Flash desde sitios web infectados e inician manualmente el archivo. exe, infectándose a sí mismas. Los investigadores detectaron una serie de sitios web comprometidos, todos medios de comunicación.

En lo que a la repercusión de la amenaza se refiere, Bad Rabbit alcanzó casi 200 objetivos, localizados en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China. Todos los ataques tuvieron lugar el 24 de octubre y no se han detectado nuevos ataques desde entonces. El servidor principal 1dnscontrol[.]com, desde el que se distribuyó Bad Rabbit, ha estado inactivo desde la noche del 24 de octubre (hora de Moscú).

INFORMACIÓN ADICIONAL

 

¿Podría tu empresa sobrevivir al ataque de un cryptor? Aprende a protegerte frente al ransomware de cifrado.