25/10/2017
Prezados,
Desde o fim da tarde de ontem (24/10/2017) foram reportados ataques massivos de uma nova variável de ransomware apelidada de Bad Rabbit. As primeiras infecções ocorreram principalmente em países na região do leste Europeu como Rússia, Ucrânia e Turquia.
O principal vetor de distribuição do Malware está relacionado a uma falsa instalação de plugin do Adobe Flash Player. Ao visitar uma página infectada, o usuário é levado a baixar e instalar uma suposta atualização, com no nome de executável “install_flash_player.exe”.
Uma vez instalado, o Malware tem a capacidade de se espalhar fazendo uma busca por compartilhamentos SMB abertos na rede interna:
• admin
• atsvc
• browser
• eventlog
• lsarpc
• netlogon
• ntsvcs
• spoolss
• samr
• srvsvc
• scerpc
• svcctl
• wkssvc
Em seguida, o Malware realiza uma busca por usuários e senhas padrão na máquina infectada, utilizando Mimikatz. Se uma credencial válida é encontrada, o Malware grava um arquivo de nome “infpub.dat” no diretório do Windows.
A lista abaixo contém os hashes dos principais arquivos utilizados pelo Malware, com sua respectiva descrição:
SHA-1 Filename ESET Detection name Description
79116fe99f2b421c52ef64097f0f39b815b20907 infopub.dat Win32/Diskcoder.D Diskcoder
afeee8b4acff87bc469a6f0364a81ae5d60a2add dispci.exe Win32/Diskcoder.D Lockscreen
413eba3973a15c1a6429d9f170f3e8287f98c21c Win32/RiskWare.Mimikatz.X Mimikatz (32-bits)
16605a4a29a101208457c47ebfde788487be788d Win64/Riskware.Mimikatz.X Mimikatz (64-bits)
de5c8d858e6e41da715dca1c019df0bfb92d32c0 install_flash_player.exe Win32/Diskcoder.D Dropper
4f61e154230a64902ae035434690bf2b96b4e018 page-main.js JS/Agent.NWC JavaScript on compromised sites
Outras informações disponíveis até o momento:
C&C servers (servidores com os quais o Malware se comunica):
________________________________________________
Payment site: http://caforssztxqzf2nm[.]onion
Inject URL: http://185.149.120[.]3/scholargoogle/
Distribution URL: hxxp://1dnscontrol[.]com/flash_install.php
Lista de sites comprometidos:
_______________________
hxxp://argumentiru[.]com
hxxp://www.fontanka[.]ru
hxxp://grupovo[.]bg
hxxp://www.sinematurk[.]com
hxxp://www.aica.co[.]jp
hxxp://spbvoditel[.]ru
hxxp://argumenti[.]ru
hxxp://www.mediaport[.]ua
hxxp://blog.fontanka[.]ru
hxxp://an-crimea[.]ru
hxxp://www.t.ks[.]ua
hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
hxxp://www.otbrana[.]com
hxxp://calendar.fontanka[.]ru
hxxp://www.grupovo[.]bg
hxxp://www.pensionhotel[.]cz
hxxp://www.online812[.]ru
hxxp://www.imer[.]ro
hxxp://novayagazeta.spb[.]ru
hxxp://i24.com[.]ua
hxxp://bg.pensionhotel[.]com
hxxp://ankerch-crimea[.]ru
Recomendações adicionais
• Bloquear no proxy o download do Adobe Flash Player.
• Solicitar ao desenvolvedor do antivírus, atualizações frequentes das features de proteção contra o ransomware e em seguida fazer o deploy a todo o ambiente.
Include the blocking rule ioc’s in antivirus solution:
fbbdc39af1139aebba4da004475e8839 – instal_flash_player.exe
1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat
b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe
hxxp://1dnscontrol[.]com
• Manter uma rotina de SO e antivírus atualizados.
• Manter o backup frequente de todos os arquivos, em um ambiente extremamente restrito e protegido.
• Centralização de documentos no servidor de arquivos (pois não é uma prática com da TI realizar backup dos arquivos em desktops).
• Trabalho de conscientização interna para não abrir/clicar nos links destes e-mails maliciosos (phishing).
• Restringir o acesso a e-mails pessoais.
• Restringir o acesso à internet, liberando somente sites permitidos na empresa.
• Restringir o uso de comunicadores não homologados.
• O usuário não deve ser administrador da máquina.
• Configurar o deny network logon.
Referências
-----------------------
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html
Estamos à disposição para quaisquer esclarecimentos.
