Recursos/White Papers

Tecnologia

BadRabbit: Tudo o que você precisa saber para manter a empresa protegida

Proteger-se de ataques ransomware não é uma tarefa difícil

Carlos Borges

Publicada em 01 de novembro de 2017 às 08h48

No dia 24 de outubro ocorreu mais um ataque do tipo ransomware que causou preocupação global. Chamado de “BadRabbit”, o malware age na codificação dos arquivos do computador e pede o pagamento de resgate em troca da liberação dos arquivos infectados.

Embora não se espalhe tão fortemente quanto o Petya/Non Petya, o novo golpe causou estragos em alguns países da Europa Oriental - como Rússia, Ucrânia e Turquia – e EUA. Há indícios, inclusive, que o código do BadRabbit tenha sido recompilado a partir do Petya/Non Petya.

Infecção
A infecção ocorre quando o usuário clica em um aviso falso de instalação do Flash Player, hospedado em sites específicos e legítimos que foram anteriormente comprometidos por cibercriminosos. Uma vez dentro da rede, se espalha coletando credenciais, além de criptografar todo disco.

Além disso, o malware se espalha por redes empresariais ao escanear outras máquinas e ainda consegue mais acessos na rede por meio de softwares nele embutidos.

trendmicro
Cadeia de infecção - Fonte: Trend Micro - Abra em outra janela para ampliar

Tecnicamente falando
O ransomware faz uso do exploit Eternal Romance, mas o foco de movimentação lateral é via brute force com uso de senhas padrões para tentar acesso nos computadores em LAN. Uma vez com acesso, é utilizado uma versão limitada do mimikatz, para conseguir mais privilégios. 

A distribuição do malware é feita por uma técnica conhecida como drive-by-download. Um site legítimo é comprometido e passa a distribuir o código de infecção. Neste caso, quando alguém visita um site infectado, aparece uma oferta de update do Flash Player. Quando o mesmo é solicitado pelo usuário, um java Script faz o envio de informações ao servidor 185.149.120.3. Após isso é feito o download do malware pelo endereço 1dnscontrol[.]com. Este link está atualmente desativado. 

O dropper precisa ser explicitamente executado pelo usuário, portando é importante que haja controle de acesso sobre o que os usuários podem executar e que a feature de UAC (User Access Control) esteja ativa.

 Outros comportamentos são observados, como a criação de tarefas agendadas: uma para utilizar um binário legítimo do DiskCrypt e outra para reinicializar a máquina. 

O ransomware modifica a MBR, redirecionando o boot para o código do próprio malware.

bad-rabbitfigura1

Recuperação dos dados?
Segundo levantamento da Check Point, o ransomware pede um resgate de 0,05 BTC (cerca de US$ 280 ou R$ 920) nas primeiras 40 horas de infecção. Os pagamentos são realizados para uma carteira de Bitcoin única para cada dispositivo.

badrabitt

Recomendações
Proteger-se de ataques ransomware não é uma tarefa difícil:

· Manter um backup dos dados críticos

· Ter softwares de proteção bem configurados e monitorados

· Atualizar os sistemas de infraestrutura da empresa e softwares utilizados nas máquinas do usuário

Para ataques similares ao BadRabbit, sugere-se que as empresas limitem e tenham maior controle sobre as ações dos usuários na máquina. Conhecido como “controle de acesso”, com ele é possível impedir que um usuário desavisado instale um software não autorizado (incluindo ransomwares).

 

(*) Carlos Borges é especialista em cibersegurança do Arcon Labs, laboratório da Arcon

 



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui