BadRabbit: otro cryptolocker inquieta a la industria

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

El pasado 24/10/2017 en Rusia y Ucrania tuvo lugar un ciberataque a gran escala usando un nuevo cryptolocker – BadRabbit.

Entre las víctimas de BadRabbit, fueron afectadas computadoras y servidores del metro de Kiev, del Ministerio de Infraestructura y del Aeropuerto Internacional de Odessa, así como una serie de organizaciones estatales en La Federación Rusa.

Las víctimas en la Federación Rusa incluyeron sitios de noticias y organizaciones comerciales.

Las infecciones también han sido informadas en Bulgaria, Japón, Turquía y Alemania.

La infección se produjo después de visitar sitios legítimos comprometidos.

El usuario se mostró una ventana con una sugerencia para actualizar FlashPlayer.

Si el usuario acepta esta actualización, un archivo malicioso llamado install_flash_player.exe es descargado: (FBBDC39AF1139AEBBA4DA004475E8839 – MD5 hash), e infecta al anfitrión.

Para el descifrado, los ataques solicitaron 0,05 bitcoins (en el intercambio actual las tasas son alrededor de 283 USD).

Después de la infección, el malware aumentó los privilegios en la máquina local para difundir. En la red local esto ocurrió por SMB, utilizando la extracción de contraseñas LSASS de la computadora comprometida o una biblioteca interna de contraseñas.

Detalles de ataque:

Después de la infección, la víctima ve la siguiente ventana:

BadRabbit
BadRabbit

 

Contiene un código individual y una dirección para un sitio de torrents: caforssztxqzf2nm.onion, que enumera un temporizador automático.

También en el sitio, se requiere que las víctimas ingresen su código personal, luego de lo cual aparece la billetera bitcoin. Los atacantes luego demandan 0,05 bitcoins para que desbloquee la computadora de la víctima.

Además, en el sitio hay una cuenta regresiva temporizador hasta que el costo aumenta.

BadRabbit
BadRabbit Contador

Carteras de atacantes de Bitcoin:

1GxXGMoz7HAVwRDZd7ezkKipY4DHLUqzmM

17GhezAiRhgB8DGArZXBkrZBFTGCC9SQ2Z.

Además el ataque fue preparado durante varios días, en el sitio: http: //caforssztxqzf2nm.onion/ – hay dos scripts js.

También a juzgar por la información desde el servidor, uno de ellos se actualizó el 19 de octubre, hace 5 días.

Dispersión

Analistas identificaron que Bad Rabbit se propagó a través del tráfico web desde sitios de medios comprometidos, entre ellos fueron:

fontanka.ru

spbvoditel.ru

most-dnepr.info imer.ro

argumentiru.com

argumenti.ru

osvitaportal.com.ua

novayagazeta.spb.ru

grupovo.bg

mediaport.ua

otbrana.com i24.com.ua

sinematurk.com

an-crimea.ru

pensionhotel.cz

ankerch-crimea.ru

aica.co.jp

t.ks.ua

online812.ru

En los recursos comprometidos, los atacantes cargaron una inyección de JS en el HTML código, que muestra una ventana emergente a los visitantes, sugiriendo que ellos actualizan Adobe Flash player.

Flash Player
Flash Player

Además Eset detectó que el script JS malicioso envía parte de la información al servidor 185.149.120.3. En este servidor, desde ayer se instaló un Apache Tomcat / Coyote JSP engine 1.1, para el cual se prepararon exploits que permitieron código remoto para ser utilizado en el servidor. El servidor pertenece a la empresa Jetmail, que se dedica al marketing por correo electrónico.

En el momento actual su sitio es indisponible.

Si un visitante presionó “descargar”, entonces el archivo malicioso se descargó de 1dnscontrol.com.

Este nombre de dominio 1dnscontrol.com tiene IP 5.61.37.209.

El ataque a primera vista parece estar motivado financieramente en general principio.  Para el alojamiento, usaron el Inferno bullet proof.

El nombre de dominio 1dnscontrol.com se registró el 22 de marzo de 2016 y actualmente está renovado.

También hay una serie de dominios maliciosos asociados con este sitio, que se relacionan con “back to 2011”.

Es posible que estos dominios también se hayan visto comprometidos o se usan para ataques análogos.

Además entre ellos vale la pena señalar:

webcheck01.net

webdefense1.net

secure-check.host

firewebmail.com

secureinbox.email

secure-dns1.net

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris