Bad Rabbit – Mais um Sequestrador

Mais um ataque de Ransomware [caso não esteja familiarizado com o termo, acesse nosso artigo sobre Ransoware] está comprometendo computadores mundo afora. Em um ano em que já vimos o famigerado WannaCry e o Petya, dois ransomwares que causaram prejuízos em praticamente todo o globo, o perigo da vez é chamado Bad Rabbit. Como explicado no nosso artigo sobre o tema, um ransomware é um software mal intencionado, que é instalado em computadores para bloquear partes do sistema ou pastas, criptografando dados e cobrando um pagamento para a liberação destes – uma espécie de sequestro virtual.

Origem

As primeiras infecções ocorreram na Rússia e logo se espalharam por alguns outros países europeus, como a Ucrânia, Turquia e Alemanha. Os primeiros relatos do ataque cibernético reportaram que diversas agências de mídia russas foram infectadas. Códigos maliciosos em javascript injetados em diversos sites redirecionavam usuários para o download do arquivo portador do malware.

O Ataque

O Ransomware, diferente de seus primos WannaCry e Petya, requer uma postura mais ativa da vítima para concluir a infecção, já que é preciso executar o arquivo portador do Malware voluntariamente, o qual se esconde atrás de um falso instalador do Adobe Flash player, reprodutor de multimídia utilizado nos navegadores. Contudo, as vulnerabilidades exploradas pelo Bad Rabbit o permitem que se propague lateralmente em redes de computadores.

Algumas similaridades, porém, foram encontradas entre o método de ataque do novo Ransomware e do Petya (06/2017), sucessor do WannaCry (Ransoware responsável por ataques em 05/2017). Até mesmo parte de códigos outrora utilizados no Petya foram encontradas no código do Bad Rabbit. Todavia, diferentemente dos dois Ransomwares citados, o Bad Rabbit não utiliza do exploit EternalBlue SMB ou qualquer outro exploit. Seu meio de se movimentar através da rede é utilizando o Windows Management Instrumentation Command-line (WMIC), uma utilidade de sistemas operacionais Windows que permite os usuários executarem operações WMI em um prompt de comando.

Os criminosos estão demandando um preço inicial de 0,05 Bitcoins para liberar o computador de uma vítima infectada, exibindo uma contador de 41 horas, que promete aumentar o valor do resgate ao final da contagem. Hoje, esse valor em Bitcoins equivale a aproximadamente R$ 970,00 no mercado brasileiro.

Estou vulnerável?

Devido a forma como o Bad Rabbit infecta computadores, não existe nenhum versão ou opção de configuração que aponte um usuário vulnerável. Portanto, qualquer sistema operacional Windows está naturalmente suscetível a infecção, que, como dito anteriormente, ocorre com a execução de um falso arquivo, designado no meio como um “dropper”, um tipo de programa malicioso, que esconde sua verdadeira intenção, criado para instalar um malware no computador da vítima.

Vacina

Amit Serper, um pesquisador de segurança da informação da empresa Cybereason, Boston, Estados Unidos, foi o primeiro a apontar uma forma de impedir que o malware consiga se instalar no computador da vítima. O método consiste em simplesmente bloquear no Windows os arquivos necessários para a execução do Ransomware, mesmo que estes não estejam presentes. Veja a seguir:

  • Crie dois arquivos chamados infpub.dat e cscc.dat na pasta windows
    • Você pode fazer isso através do command-line do windows aberto com privilégios de administrador
    • Digite então os seguintes comandos: echo “” > c:\windows\cscc.dat&&echo “” > c:\windows\infpub.dat
    • Note que C é a unidade de disco onde se encontra a instalação do Windows, modifique conforme sua necessidade.
  • Retire toda e qualquer permissão de cada um dos arquivos recém criados
    • Com o botão direito, acesse as propriedades de cada arquivo
    • Na aba Segurança, procure a opção Avançado
    • Na nova janela, procure na aba Permissões a opção Alterar Permissões
    • Na nova janela que abrir, clique no botão Desabilitar herança, no caso do Windows 10 ou desmarque a caixa Incluir permissões herdáveis dos pais desse objeto.
    • Confirme qualquer nova caixa de diálogo para remover as permissões

Outras prevenções

  • Caso seja possível, desative o serviço WMI. Isso irá impedir que o malware se espalhe pela rede.
  • Mantenha um backup isolado da rede para seus arquivos mais importantes.
  • Desligue toda a conexão da rede de uma máquina caso note a sua infecção.
  • Utilize antivírus de qualidade e atualizados. Alguns já lançaram “patchs” para impedir o Bad Rabbit no primeiro dia.
  • Não abra arquivos desconhecidos baixados de qualquer site. Se precisar atualizar uma aplicação, recorra ao site oficial da empresa responsável.
  • Certifique-se de que apenas usuários capacitados têm permissão de administrador para instalar qualquer executável.

Recomendações em caso de infecção

Até agora não há indícios de que o pagamento do resgate cobrado pelos criminosos virtuais de fato libere os arquivos criptografados da vítima. Infelizmente, também não foi encontrado nenhum método para quebrar a criptografia utilizada. Por esses e outros motivos, não é recomendado o pagamento do valor de resgate aos criminosos em caso de infecção.

Outros detalhes

Durante o processo que vai desde a contaminação do computador da vítima até a exibição da tela de pagamento do Ransomware algumas ferramentas já conhecidas são utilizadas. O primeiro sendo o famoso utilitário Mimikatz, uma ferramenta reconhecida como uma das melhores da atualidade para se obter dados de credenciais de sistemas Windows. Outras evidências apontam que o Bad Rabbit faz uso do DiskCryptor, um sistema gratuito e de código aberto para encriptação completa de discos para o sistema Windows. O DiskCryptor permite encriptar partições ou discos inteiros em que o windows esteja instalado.

O processo completo do ransomware pode ser descrito, de maneira simplificada, com as seguintes etapas:

  1. Usuário visita domínio online comprometido
  2. Download do falso arquivo do Adobe Flash Player é feito
  3. Arquivo falso é executado pelo usuário com privilégios de administrador
  4. Acontece a instalação do DiskCryptor e seu driver
  5. Tarefas são executadas para reiniciar o sistema
  6. Arquivos são encriptados
  7. Bootloader é modificado para impedir a inicialização normal do sistema
  8. Tela do ransomware é exibida com as notas do Bad Rabbit e a contagem é iniciada.

Conclusão

2017 está acabando e com certeza já ficará marcado como um ano de ransomwares no cenário da Segurança da Informação. Apesar de não ter se espalhado tanto quanto o WannaCry e o Petya, o Bad Rabbit nos mostra que é preciso estar atento para as mais variadas formas e inovações dos ataques virtuais. Ainda assim nos lembra de que as estratégias mais antigas, como a execução manual de arquivos comprometidos, utilizada no caso, ainda são armas com potencial de causar grandes estragos.

É importante manter os sistemas operacionais e ferramentas sempre atualizadas em um tempo onde a celeridade das ameaças e defesas virtuais é crescente. Quando o assunto é ransomware, porém, a maior defesa é guardar um backup dos arquivos essenciais em um local isolado da rede, mantendo os métodos de defesa e redundâncias necessários dado a importância do conteúdo armazenado.

A realização de campanhas em organizações, seja qual for o seu caráter, é importante para a conscientização de usuários acerca dos perigos da segurança da informação. Assim é possível impedir que vetores de propagação mais simples e facilmente bloqueáveis, como no caso do Bad Rabbit, transformem-se em um problema de larga escala.

por Grazielle Alessa e Hugo do Val

Fontes