BadRabbit: Tudo o que você precisa saber para manter a empresa protegida

No dia 24 de outubro ocorreu mais um ataque do tipo ransomware que causou preocupação global. Chamado de “BadRabbit”, o malware age na codificação dos arquivos do computador e pede o pagamento de resgate em troca da liberação dos arquivos infectados.

Embora não se espalhe tão fortemente quanto o Petya/Non Petya, o novo golpe causou estragos em alguns países da Europa Oriental – como Rússia, Ucrânia e Turquia – e EUA. Há indícios, inclusive, que o código do BadRabbit tenha sido recompilado a partir do Petya/Non Petya.

Infecção
A infecção ocorre quando o usuário clica em um aviso falso de instalação do Flash Player, hospedado em sites específicos e legítimos que foram anteriormente comprometidos por cibercriminosos. Uma vez dentro da rede, se espalha coletando credenciais, além de criptografar todo disco.

Além disso, o malware se espalha por redes empresariais ao escanear outras máquinas e ainda consegue mais acessos na rede por meio de softwares nele embutidos.

^{Cadeia de infecção – Fonte: Trend Micro – Abra em outra janela para ampliar}

Tecnicamente falando
O ransomware faz uso do exploit Eternal Romance, mas o foco de movimentação lateral é via brute force com uso de senhas padrões para tentar acesso nos computadores em LAN. Uma vez com acesso, é utilizado uma versão limitada do mimikatz, para conseguir mais privilégios.

A distribuição do malware é feita por uma técnica conhecida como drive-by-download. Um site legítimo é comprometido e passa a distribuir o código de infecção. Neste caso, quando alguém visita um site infectado, aparece uma oferta de update do Flash Player. Quando o mesmo é solicitado pelo usuário, um java Script faz o envio de informações ao servidor 185.149.120.3. Após isso é feito o download do malware pelo endereço 1dnscontrol[.]com. Este link está atualmente desativado.

O dropper precisa ser explicitamente executado pelo usuário, portando é importante que haja controle de acesso sobre o que os usuários podem executar e que a feature de UAC (User Access Control) esteja ativa.

Outros comportamentos são observados, como a criação de tarefas agendadas: uma para utilizar um binário legítimo do DiskCrypt e outra para reinicializar a máquina.

O ransomware modifica a MBR, redirecionando o boot para o código do próprio malware.

Recuperação dos dados?
Segundo levantamento da Check Point, o ransomware pede um resgate de 0,05 BTC (cerca de US$ 280 ou R$ 920) nas primeiras 40 horas de infecção. Os pagamentos são realizados para uma carteira de Bitcoin única para cada dispositivo.

Recomendações
Proteger-se de ataques ransomware não é uma tarefa difícil:

· Manter um backup dos dados críticos

· Ter softwares de proteção bem configurados e monitorados

· Atualizar os sistemas de infraestrutura da empresa e softwares utilizados nas máquinas do usuário

Para ataques similares ao BadRabbit, sugere-se que as empresas limitem e tenham maior controle sobre as ações dos usuários na máquina. Conhecido como “controle de acesso”, com ele é possível impedir que um usuário desavisado instale um software não autorizado (incluindo ransomwares).

(*) Carlos Borges é especialista em cibersegurança do Arcon Labs, laboratório da Arcon