Segurança Cibernética

O ransomware voltou! BadRabbit infecta aeroportos e metrôs

Threat Intelligence Team, 25 Outubro 2017

O ransomware chamado “BadRabbit” está se espalhando. Seu código está baseado no NotPetya. Veja como o Avast protege você.

Artigo escrito por Ladislav Zezula, Jakub Kroustek e Martin Hron.

Ontem, o BadRabbit - uma nova família de ransomwares - começou a se espalhar. Desta vez, os cibercriminosos usaram sites populares de notícias russas para espalhar o ransomware. Apesar de reciclar um pouco o código do NotPetya, o BadRabbit não se espalhou tão a fundo como o WannaCry ou o NotPetya. No entanto, conseguiu infectar o Ministério da Infra-estrutura da Ucrânia, o aeroporto de Odessa, o metrô de Kiev e dois grupos russos de mídiaO BadRabbit solicita o pagamento de um resgate de 0,05 Bitcoin ou aproximadamente 276 dólares.

De acordo com os dados do Laboratório de Ameaças da Avast Threat, até agora, usuários em 15 países foram alvo do BadRabbit. O país mais atingido é a Rússia, com 71% das detecções que observamos, seguido pela Ucrânia com 14% e a Bulgária com 8%.

Os Estados Unidos e os outros países da Europa Central e Oriental, incluindo a Polônia e a Romênia, também foram afetados e, até agora, o número de vítimas nesses países, incluindo os Estados Unidos, foi muito inferior ao da Rússia. No momento da redação dessa postagem, calculamos que a taxa de detecção foi menor do que 1% em cada uma dessas regiões.

Mapa dos ataques do BadRabbit

BadRabbit_Avast_Map_25102017.png

Como o BadRabbit se espalha

Para infectar computadores com a família BadRabbit, os cibercriminosos começaram por infectar sites populares de notícias como o Russian Interfax e o Fontanka, com o objetivo de atacar amplamente os visitantes desses sites como se fosse uma tempestade. Embora um dos objetivos do ransomware seja ganhar dinheiro, também pode ter querido derrubar as operações de uma empresa. As anteriores campanhas de ransomware ao longo deste ano mostraram que isso pode ser alcançado, como no caso de algumas grandes empresas que tiveram que enviar seus funcionários para casa no dia seguinte à infecção. O script malicioso injetado nesses sites levou os visitantes a baixar uma falsa atualização de um instalador do Adobe Flash. Uma vez executado, o BadRabbit começa a fazer o seu trabalho.

Uma vez que o BadRabbit infecta um computador, ele tenta se espalhar na rede conectada para infectar mais computadores. O BadRabbit possui um conjunto de combinações de login e senha padrão que são usadas para infectar a rede local. Além disso, ele usa o Mimikatz para extrair outras combinações usadas pelo usuário infectado. Essa técnica também foi utilizada anteriormente pelo NotPetya. A infecção na rede local é feita através do protocolo SMB, mas, ao contrário do WannaCry e do NotPetya, nenhum exploit foi utilizado desta vez. A disseminação dentro das redes internas depende apenas de senhas extraídas ou de um ataque usando logins padrão (dicionário), ou mesmo através de compartilhamentos de rede totalmente abertos.

O Mimikatz abusa de um processo do Windows chamado LSASS (Local Security Authority Subsystem Service) que armazena hashes e senhas usadas durante várias sessões de autenticação, por exemplo, ao acessar uma pasta compartilhada que está armazenada em um outro computador. Para acessar a pasta compartilhada e/ou um computador diferente, é necessário inserir um nome de usuário e uma senha. As credenciais são armazenadas no LSASS para que não precisem ser digitadas novamente durante a sessão ativa.

Mimikatz analisa a memória do LSASS para encontrar pares de credenciais e, em seguida, faz uma extração. Os cibercriminosos podem usá-los para autorizar o acesso a compartilhamentos remotos, que é o que o ransomware como o BadRabbit precisa para criptografar compartilhamentos remotos ou se espalhar para outras máquinas.

Para evitar que o Mimikatz faça o seu trabalho, é possível executar o LSASS em um modo protegido nos sistemas Windows 8.1 e superiores. Mas, infelizmente, esta opção não está ativada por padrão.

Processo de criptografia

Em vez de reinventar a roda, os cibercriminosos por trás do BadRabbit simplesmente reutilizaram partes do código do NotPetya. Tudo o que eles tinham que fazer era corrigir erros e adaptar o código para novos requisitos.

O BadRabbit criptografa o disco e os arquivos no computador infectado. Os arquivos são criptografados primeiro, usando a criptografia incorporada do Windows (Crypto-API). Simultaneamente, um software de criptografia de disco, o Diskcrypt, se instala no computador e prepara a reinicialização do sistema, partindo então para a criptografia do disco em si. O BadRabbit usa o Diskcrypt para esta tarefa, um software legítimo com mais de três anos de idade.

Durante o processo de instalação do Diskcryptor, o malware cria um novo serviço chamado "cscc". Em caso de falha, ele sequestra outro serviço do Windows, o "cdfs" (sistema de arquivos de CD-ROM).

O BadRabbit também criptografa os arquivos de sistema. O arquivo original é criptografado em sua localização original, o que reduz consideravelmente a chance de recuperá-lo sem a chave de criptografia. Algumas vezes, os ransomwares copiam o conteúdo do arquivo em um novo arquivo, criptografam e depois excluem o arquivo original. Nesse caso, se um arquivo é excluído, ele ainda pode ser encontrado na unidade do computador e, portanto, recuperado.

O BadRabbit criptografa os arquivos usando o AES-128, que é forte o suficiente para que não possa ser quebrado por força bruta e usa a mesma chave de criptografia para todos os arquivos no computador infectado. Os arquivos criptografados são marcados por uma sequência "criptografada" ao final do seu conteúdo.

A chave de criptografia é uma chave aleatória de 33 bytes, gerada usando CryptGenRandom (um gerador de números aleatórios de alta qualidade). Essa chave é convertida em uma senha de texto de 32 caracteres que é alimentada a um hash MD5. O resultado do hash MD5 é a chave para a criptografia AES-128, ou seja, a chave que criptografa os arquivos.

A chave AES-128 é empacotada junto com o nome do computador, nome de domínio, fuso horário e um valor aleatório (salt). Em seguida, é criptografado pela chave pública RSA, que é codificada no binário. O resultado é então armazenado no arquivo X:\readme.txt (onde 'X:' é qualquer unidade fixa no sistema) como se fosse uma identificação do usuário", que por sua vez também é apresentada na tela de inicialização.

Diferentemente do NotPetya, que atacou em julho, a geração da chave de criptografia é feita corretamente. Isso significa que os arquivos criptografados pelo BadRabbit não são corrompidos, enquanto os arquivos afetados pelo NotPetya foram.

Tentando ser mais espertos que os antivírus

Para evitar a detecção pelos antivírus, o ransomware usa linhas de comando complicadas, para evitar ou enganar os analisadores de linha de comando e incluiu referências ao Game of Thrones. Um exemplo dessas linhas de comando poderia ser:
C:\Windows\system32\cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "C:\Windows\system32\cmd.exe /C Start \"\" \"C:\Windows\dispci.exe\" -id 4294681185 && exit"
O que na prática deveria ser apenas: C:\Windows\dispci.exe -id 4294681185.
Se os cibercriminosos tivessem usado a linha de comando real, então o software de criptografia de disco teria sido imediatamente detectado pelos antivírus.

O Avast e o AVG detectam o BadRabbit como Win32:Malware-gen, protegendo todos os usuários Avast e AVG do BadRabbit.

Como evitar a infecção pelo BadRabbit?

Existe uma espécie de arquivo de vacina que impedirá que o BadRabbit infecte um computador, se o arquivo existir. Se você estiver executando o sistema como administrador e houver um arquivo chamado "C:\Windows\cscc.dat", o malware não será executado. Você pode criar este arquivo criando um arquivo txt e renomeando-o: cscc.dat e salvando-o em C:\Windows\.

Se o seu computador já estiver infectado com o BadRabbit, aconselhamos a não pagar o resgate, como fazemos com todos os ransomwares. Pagar o resgate mostra aos cibercriminosos que o ransomware é eficaz para se ganhar dinheiro e os encoraja a continuar espalhando o ransomware.

Para se proteger contra ransomwares como o BadRabbit:

  • Instale um antivírus em todos os dispositivos possíveis, inclusive no seu smartphone. O software antivírus irá bloquear o ransomware, caso o encontre.

  • Atualizar todo os seus programas sempre que uma nova versão estiver disponível pode ajudar a impedir que o ransomware se aproveite da falha de outro software para infectar o seu dispositivo. No entanto, neste caso, as vítimas foram alertadas para atualizar o Adobe Flash e achavam que estavam fazendo o que é certo. Por isso, é importante atualizar os programas somente pelos canais de distribuição oficiais.

  • Ser cuidadoso também pode ajudar muito a evitar os ransomwares. Embora, desta vez, sites legítimos tenham sido infectados, em geral, você deve ficar longe de sites suspeitos, ter cuidado com o que você baixa e não abrir links ou anexos enviados a você por um remetente desconhecido ou desconhecido. Muitas pessoas não pensam que um documento comum do Word ou do Excel pode conter ou baixar algo malicioso e, por isso, os cibercriminosos gostam de utilizá-los para os seus ataques. Os anexos maliciosos, enviados sob a forma de um documento do Word ou Excel, muitas vezes solicitam que as Macros sejam habilitadas, o que permite que o documento baixe malwares e ransomwares da internet.

  • Ainda que não ajude a evitar os ransomwares, fazer regularmente backup dos seus dados ajudará evitar a perda de dados, caso você caia vítima de ransomwares. Se regularmente você fizer backup dos seus dados, estando desconectado da internet (por exemplo, para um disco rígido externo), você reduzirá consideravelmente o risco de perder os seus dados por um ataque vindo da internet.

Continuamos monitorando e analisando o ransomware BadRabbit. À medida que descobrimos novas informações, publicaremos mais atualizações para os nossos usuários.