BadRabbit: el ransomware que recuerda a NotPetya
Cuando parecía que la “moda” de los grandes ransomware que operaban a nivel mundial se había acabado, llega BadRabbit. Este virus recuerda a los fantasmas del pasado reciente, cuando NotPetya o WannaCry hicieron temblar a buena parte del mundo. Sin embargo, de momento parece que o se ha conseguido detener a tiempo o era un sofisticado ataque dirigido.
El inicio de BadRabbit parece estar en Europa del Este. El martes 25 se detectaron errores en puntos cruciales como el metro de Kiev o en varias agencias rusas de información. De momento es un ransomware que se está expandiendo solo por esa zona geográfica. Según las fuentes investigadoras, parece ser un ataque localizado, aunque no descartan otras hipótesis.
Según ESET, una compañía de seguridad, el 65% de los intentos de infección se localizaron en Rusia, un 12’2% en Ucrania y un 10’2% en Bulgaria. También ha alcanzado países como Japón, Alemania o Turquía con un impacto más reducido.
Al contrario que su “primo” NotPetya, este ataque de ransomware parece dirigido hacia sectores y empresas de primer nivel tales como aeropuertos, grandes compañías, etc. Se está estudiando que incluso puede haber infectado el sistema bancario.
¿Cómo funciona BadRabbit?
A pesar de afectar a lugares y grandes empresas, el proceso de infección es similar a los troyanos y virus informáticos “comunes”. BadRabbit viene oculto en una actualización de Adobe Flash, todavía muy usado por gran parte de los internautas rusos.
Una vez instalado, busca extenderse mediante el protocolo de red de Windows (SMB) que use la víctima. También emplea una herramienta que le permite cambiar los privilegios del ordenador dentro de la red local en la que se halle, así como otra función que le permite sacar las contraseñas de los otros equipos.
Una vez extraídas todas las contraseñas, este software malicioso exigirá un pago de 0’05 bitcoins (unos 250 euros por terminal) que el usuario tendrá que pagar mediante Tor antes de un plazo determinado. En caso de que no se abone este importe, se perderán todos los datos del ordenador.
Como NotPetya pero sin serlo
Este proceso es muy similar al usado por NotPetya. Este usaba las actualizaciones de MEDoc, un software usado por la burocracia en Ucrania para realizar ciertos trámites. En el momento en el que los hackers reciban el control de las actualizaciones, los dispositivos víctima piensan que se trata de una actualización usual.
Por eso mismo, los investigadores sugieren que los creadores de BadRabbit son los mismos que los que dieron vida a NotPetya. Tanto el modus operandi como las herramientas utilizadas son muy similares. También es posible, sugieren miembros de la investigación del caso, que sean otros intentando emular el “éxito” de NotPetya. Sea como fuere, BadRabbit usa el 13% de su hermano mayor, por lo que su relación es obvia.
Puede ser que al final este ransomware no vaya dirigido hacia empresas y entes públicos de España. Sin embargo, sí puede aumentar en viralidad e infecte a varios países más. Ya sea por BadRabbit o por otro virus del estilo, en MicroCAD siempre recomendamos “blindar” los ordenadores de nuestros clientes. Las soluciones en ciberseguridad que ofrecemos aportan un valor más a lo que representa la confianza al navegar, descargar e instalar software.
Si tú también quieres evitar este tipo de ransomware y no ver comprometida tu empresa, ponte en contacto con nosotros. En MicroCAD podremos atenderte y proteger tus equipos ante estas amenazas.