Ciberseguridad
Amenazas
ransomware
Kaspersky

Bad Rabbit no es un wiper, a diferencia de ExPetr

Tras analizar el algoritmo del malware, Kaspersky Lab confirma que, gracias a dicha amenaza, los atacantes tienen los medios técnicos para descifrar la información necesaria para la recuperación del disco.

ransomware

ExPetr, Bad Rabbit no es un wiper, a diferencia de ExPetr. Así lo advierte Kaspersky Lab tras analizar su malware. ¿Qué supone eso? Que los atacantes tienen los medios técnicos para descifrar la información necesaria para la recuperación del disco. No obstante, los actores que hay detrás de Bad Rabbit pueden usar su propia clave privada para descifrar la información y enviarla a la víctima.

Los investigadores del especialista en seguridad también encontraron que el código de ransomware de Bad Rabbit no contiene el tipo de errores que podrían usarse para descifrar los archivos y datos de las víctimas. Es decir, no hay forma de descifrar la información sin la clave privada del atacante. Dicho esto, los expertos han encontrado un error en el código dispci. exe, lo que significa que el malware no borra la contraseña generada de la memoria, por lo que existe una pequeña posibilidad de extraerla.

Justamente ayer, Kaspersky Lab confirmó que el ataque de ransomware de Bad Rabbit está ligado a los creadores del ataque ExPetr, que tuvo lugar en junio de este año. Ambos ataques usan los mismos dominios, y hay similitudes en los códigos fuente. Según su análisis, el algoritmo de hash utilizado en el ataque Bad Rabbit es similar al usado por ExPetr. Y, al igual que ExPetr, Bad Rabbit intenta hacerse con las credenciales de la memoria del sistema y difundirlas dentro de la red corporativa por WMIC. Sin embargo, los investigadores no han encontrado el exploit EternalBlue en el ataque de Bad Rabbit que se utilizó en ExPetr.

Asimismo, los expertos de Kaspersky Lab han informado que el ransomware se propaga a través de un ataque de descarga. Las víctimas descargan un falso instalador de Adobe Flash desde sitios web infectados e inician manualmente el archivo. exe, infectándose a sí mismas. Los investigadores detectaron una serie de sitios web comprometidos, todos medios de comunicación.

En lo que a la repercusión de la amenaza se refiere, Bad Rabbit alcanzó casi 200 objetivos, localizados en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China. Todos los ataques tuvieron lugar el 24 de octubre y no se han detectado nuevos ataques desde entonces. El servidor principal 1dnscontrol[.]com, desde el que se distribuyó Bad Rabbit, ha estado inactivo desde la noche del 24 de octubre (hora de Moscú).

INFORMACIÓN ADICIONAL

 

¿Podría tu empresa sobrevivir al ataque de un cryptor? Aprende a protegerte frente al ransomware de cifrado.

 
 
Perfil profesional

Política de seguridad de las empresas, esa gran desconocida para los trabajadores españoles

Al igual que las amenazas, el gran enemigo de las empresas es el desconocimiento de sus políticas de seguridad por parte de los empleados. Al menos es la conclusión a la que llega un reciente estudio elaborado por Kaspersky Lab y B2B International. Conclusión palmaria: sólo un 14% de los empleados encuestados en España es plenamente consciente de las...

Perfil profesional

Claves para minimizar los ciberataques en 2018

La ciberdelincuencia se ha convertido en uno de los crímenes más rentables del siglo XXI. Lo saben las empresas y también los usuarios, que ponen todo de su parte para evitar ser víctimas de las fechorías de los ciberdelincuentes? O no. Porque siempre hay quien baja la guardia, de ahí la necesidad de refrescar una serie de consejos....