Durante a última terça-feira, dia 24/10/2017 um ataque de ransomware, conhecido como Bad Rabbit, começou a se propagar na Rússia e Ucrânia. Apesar da ampla divulgação realizada na mídia hoje pela manhã, o Bad Rabbit não possui o mesmo potencial devastador apresentado pelo WannaCry e Petya. O vetor de ataque é um update falso do Adobe Flash.

Uma vez que Bad Rabbit faz seu trabalho, ele reinicia o PC do usuário, que fica preso à tela de resgate MBR personalizada. A tela de resgate é quase idêntica à utilizada pelo NotPetya, no surto de junho. Apesar disso, há pouca semelhança com NotPetya. Pesquisadores afirmam que há apenas 13% de reutilização de código entre Bad Rabbit e NotPetya.

Para que você possa estar seguro contra essa ameaça e prosseguir normalmente com a operação do negócio, elaboramos a seguir uma série de recomendações a serem efetuadas em seu ambiente, confira.

Os clientes de Serviços Gerenciados já estão com essas medidas sendo implementadas em seus ambientes através da equipe do SOC Real Protect.

Contexto e Indicadores de Ameaças

 

  • Agente malicioso

    • Bad Rabbit Ransomware

 

  • Ferramentas

    • DiskCryptor para encriptação dos arquivos, Mimikatz e Wmi com wordlist de senhas fracas para obtenção de credenciais e SMB v1 para movimentação lateral. Também utiliza técnicas de evasão de SandBox.

 

  • Infraestrutura

    • Domínio utilizado para fornecer o executável responsável pela infecção <http://1dnscontrol.com/f       lash_install.php> e domínio para recebimento de pagamentos localizado na rede onion (http://caforssztx       qzf2nm.onion)

 

  • Métodos

    • Encriptação dos arquivos incluindo o MBR da máquina, solicitação de resgate e movimentação lateral

Indicadores de Comprometimento (IoC’s)

  • Endereço de pagamento

    • caforssztxqzf    2nm.onion

 

  • URL de distribuição

    • 1dnscontrol.com/fla     sh_install.php

 

  • Arquivos

    • infpub.dat – 1d724f95c61f1055f0d02c2154bbccd3
    • dispci.exe – b14d8faf7f0cbcfad051cefe5f39645f
    • Mimikatz (32 bits) – 413eba3973a15c1a6429d9f170f3e8287f98c21c
    • Mimikatz (64 bits) – 16605a4a29a101208457c47ebfde788487be788d
    • install_flash_player.exe – fbbdc39af1139aebba4da004475e8839
    • Win32/Diskcoder.D – Diskcoder
    • Lockscreen – Win32/Diskcoder.D

 

  • Compartilhamentos de rede visados

    • admin
    • atsvc
    • browser
    • eventlog
    • lsarpc
    • netlogon
    • ntsvcs
    • spoolss
    • samr
    • srvsvc
    • scerpc
    • svcctl
    • wkssvc

Medidas de Prevenção essenciais contra o Bad Rabbit:

Recomendamos que as ações abaixo sejam efetuadas o mais rapidamente possível:

No perímetro de sua rede:

  • Garantir que as funções de antimalware estejam habilitadas e atualizadas no Firewall, UTM ou NextGenFW;
  • Bloquear o download de arquivos executáveis no Filtro Web (Certifique-se que o HTTPs está sendo inspecionado);
  • Garantir que o Filtro Web esteja bloqueando categorias maliciosas;

Nas estações e servidores:

  • Limitar o permissionamento de execução nos caminhos c:\windows\infpub.dat e C:\Windows\cscc.dat
  • Garantir que todos os computadores estão com o antimalware instalado e atualizado com vacinas o mais recente possível;
  • Garantir que o backup esteja atualizado e isolado do restante da rede;
  • Utilização de senhas fortes;
  • Desativação do SMB v1;
  • Manter usuários com o mínimo de privilégios possível;

Informações Adicionais:

  • Recomendamos que seja realizado o monitoramento contínuo do ambiente em busca de atividades suspeitas;
  • Em caso de suspeita de equipamento contaminado, é recomendado isolar o equipamento da rede imediatamente
  • Recomendações disponíveis nas soluções Trend Micro: https://success.trendmicro.com/solution/1118637