Tercer ciberataque a gran escala en un año. Esta vez, el virus tiene un nuevo nombre, Bad Rabbit, y viejos hábitos: cifrar datos y extorsionar para desbloquearlos. Y Rusia, Ucrania y algunos otros países de la CEI todavía se encuentran en la zona afectada.

Bad Rabbit sigue el patrón habitual: envía un correo electrónico de phishing con un virus o un enlace adjunto. En particular, los atacantes pueden hacerse pasar por el soporte técnico de Microsoft y pedirle que abra urgentemente un archivo adjunto o siga un enlace. Hay otra ruta de distribución: una ventana de actualización falsa. Flash Adobe Jugador. En ambos casos, Bad Rabbit actúa de la misma manera que el sensacionalista no hace mucho: cifra los datos de la víctima y exige un rescate de 0,05 bitcoins, que equivale aproximadamente a 280 dólares al tipo de cambio del 25 de octubre de 2017. Las víctimas de la nueva epidemia fueron Interfax, la publicación Fontanka de San Petersburgo, el Metropolitano de Kiev, el aeropuerto de Odessa y el Ministerio de Cultura de Ucrania. Hay pruebas de que el nuevo virus intentó atacar a varios bancos rusos conocidos, pero la idea fracasó. Los expertos vinculan a Bad Rabbit con ataques importantes anteriores registrados este año. Prueba de ello es el software de cifrado similar Diskcoder.D, y este es el mismo cifrador Petya, sólo que ligeramente modificado.

¿Cómo protegerse del Conejo Malo?

Los expertos recomiendan a los propietarios. Computadoras con Windows cree un archivo "infpub.dat" y colóquelo en carpeta de ventanas en la unidad "C". Como resultado, la ruta debería verse así: C:\windows\infpub.dat. Esto se puede hacer usando un bloc de notas normal, pero con derechos de administrador. Para hacer esto, busque un enlace al programa Bloc de notas, haga clic derecho y seleccione "Ejecutar como administrador".

Luego sólo necesita guardar este archivo en la dirección C:\windows\, es decir, en la carpeta de Windows en la unidad “C”. Nombre del archivo: infpub.dat, siendo “dat” la extensión del archivo. No olvide reemplazar la extensión estándar del bloc de notas "txt" por "dat". Después de guardar el archivo, abra la carpeta de Windows, busque el archivo infpub.dat creado, haga clic derecho sobre él y seleccione "Propiedades", donde en la parte inferior debe marcar la casilla de verificación "Solo lectura". De esta manera, incluso si contraes el virus Bad Bunny, este no podrá cifrar tus datos.

Medidas preventivas

No olvides que puedes protegerte de cualquier virus simplemente siguiendo ciertas reglas. Puede parecer trivial, pero nunca abras correos electrónicos, y mucho menos sus archivos adjuntos, si la dirección te parece sospechosa. Los correos electrónicos de phishing, es decir, hacerse pasar por otros servicios, son el método de infección más común. Ten cuidado con lo que abres. Si en un correo electrónico el archivo adjunto se llama "Documento importante.docx_______.exe", definitivamente no debería abrir este archivo. Además es necesario tener copias de seguridad archivos importantes. Por ejemplo, un archivo familiar con fotografías o documentos de trabajo se puede duplicar en unidad externa o en almacenamiento en la nube. No olvides lo importante que es utilizar versión con licencia Windows e instale actualizaciones periódicamente. Microsoft lanza parches de seguridad con regularidad y quienes los instalan no tienen problemas con dichos virus.

El final de octubre de este año estuvo marcado por la aparición de un nuevo virus que atacó activamente las computadoras de usuarios corporativos y domésticos. Nuevo virus es un criptógrafo y se llama Bad Rabbit, que significa conejo malo. Este virus se utilizó para atacar los sitios web de varios medios de comunicación rusos. Posteriormente, el virus fue descubierto en las redes de información de empresas ucranianas. Allí fueron atacadas las redes de información del metro, varios ministerios, aeropuertos internacionales, etc. Un poco más tarde se observó un ataque viral similar en Alemania y Turquía, aunque su actividad fue significativamente menor que en Ucrania y Rusia.

Un virus malicioso es un complemento especial que, una vez que llega a una computadora, cifra sus archivos. Una vez cifrada la información, los atacantes intentan obtener recompensas de los usuarios por descifrar sus datos.

Propagación del virus

Los especialistas del laboratorio del programa antivirus ESET analizaron el algoritmo de propagación del virus y llegaron a la conclusión de que se trata de un virus modificado que se propagó no hace mucho, como el virus Petya.

Los especialistas del laboratorio de ESET determinaron que los complementos maliciosos se distribuyeron desde el recurso 1dnscontrol.com y la dirección IP IP5.61.37.209. Varios otros recursos también están asociados con este dominio e IP, incluidos Secure-check.host, webcheck01.net, Secureinbox.email, webdefense1.net, Secure-dns1.net, firewebmail.com.

Los expertos han descubierto que los propietarios de estos sitios han registrado muchos recursos diferentes, por ejemplo, aquellos a través de los cuales intentan vender medicamentos falsificados mediante correo spam. Especialistas de ESET No se excluye que fue con la ayuda de estos recursos, utilizando spam y phishing, que se llevó a cabo el principal ciberataque.

¿Cómo se produce la infección por el virus Bad Rabbit?

Los especialistas del Laboratorio de Informática Forense investigaron cómo llegó el virus a los ordenadores de los usuarios. Se descubrió que, en la mayoría de los casos, el virus ransomware Bad Rabbit se distribuía como una actualización de Adobe Flash. Es decir, el virus no aprovechó ninguna vulnerabilidad. Sistema operativo, pero fue instalado por los propios usuarios, quienes, sin saberlo, aprobaron su instalación pensando que estaban actualizando el complemento Adobe Flash. Cuando el virus entró red local, robó nombres de usuario y contraseñas de la memoria y se propagó de forma independiente a otros sistemas informáticos.

Cómo los hackers extorsionan dinero

Una vez instalado el virus ransomware en la computadora, cifra la información almacenada. A continuación, los usuarios reciben un mensaje que indica que para obtener acceso a sus datos, deben realizar un pago en un sitio específico de la red oscura. Para hacer esto, primero necesita instalar un navegador Tor especial. Para desbloquear la computadora, los atacantes extorsionan el pago de 0,05 bitcoins. Hoy en día, a 5.600 dólares por Bitcoin, eso equivale aproximadamente a 280 dólares para desbloquear una computadora. El usuario dispone de un plazo de 48 horas para realizar el pago. Después de este período, si la cantidad requerida no ha sido transferida a la cuenta electrónica del atacante, la cantidad aumenta.

Cómo protegerse del virus

1. Para protegerse de la infección por el virus Bad Rabbit, debe bloquear el acceso desde el entorno de información a los dominios anteriores.
2. Para usuarios domésticos, es necesario actualizar la versión actual. Versiones de Windows y también programa antivirus. En este caso, el archivo malicioso será detectado como un virus ransomware, lo que excluirá la posibilidad de su instalación en el ordenador.
3. Aquellos usuarios que utilizan el sistema operativo antivirus incorporado. sistemas windows, ya tienen protección contra estos ransomware. Se implementa en aplicación de Windows Antivirus defensor.
4. Los desarrolladores del programa antivirus de Kaspersky Lab recomiendan a todos los usuarios que realicen periódicamente copias de seguridad de sus datos. Además, los expertos recomiendan bloquear la ejecución de los archivos c:\windows\infpub.dat, c:\WINDOWS\cscc.dat y, si es posible, prohibir el uso del servicio WMI.

Conclusión

Todo usuario de computadora debe recordar que la ciberseguridad debe ser lo primero cuando se trabaja en la red. Por lo tanto, siempre debe asegurarse de utilizar únicamente recursos de información probados y utilizar con cuidado correo electrónico Y redes sociales. Es a través de estos recursos que con mayor frecuencia se propagan diversos virus. Las reglas básicas de conducta en el entorno de la información ayudarán a eliminar los problemas que surgen durante un ataque de virus.

El 24 de octubre, los medios rusos, así como las empresas de transporte y las agencias gubernamentales de Ucrania, fueron atacados por el ransomware Bad Rabbit. Según fuentes públicas, entre las víctimas se encuentran el metro de Kiev, el aeropuerto de Odessa, el Ministerio de Infraestructura de Ucrania, las redacciones de Interfax y Fontanka.

Según el laboratorio de virus ESET, el ataque al metro de Kiev utilizó el malware Diskcoder.D, una nueva modificación del cifrado conocido como Petya.

Especialistas en seguridad de la información El Grupo IB descubrió que el ataque se había estado preparando durante varios días. ESET advierte que el ransomware penetra en el ordenador a través de una actualización falsa del complemento Adobe Flash. Después de eso, infecta la PC y cifra los archivos que contiene. Luego aparece un mensaje en el monitor que indica que la computadora está bloqueada y que para descifrar los archivos debe ir al sitio web de Bad Rabbit: caforssztxqzf2nm.onion a través del navegador Tor.

Las epidemias de ransomware WannaCry y NotPetya demostraron que es necesario actualizar a tiempo programas instalados y sistema, así como realizar copias de seguridad para no quedarse sin información importante después de un ataque de virus.

Sin embargo, si se produce una infección, los expertos del Grupo IB no recomiendan pagar el rescate porque:

• de esta manera ayudas a los delincuentes;
• No tenemos evidencia de que se hayan restaurado los datos de quienes pagaron.

¿Cómo proteger su computadora de la infección Bad Rabbit?

Para evitar ser víctima de la nueva epidemia de Bad Rabbit, los expertos de Kaspersky Lab recomiendan hacer lo siguiente:

Para usuarios de las soluciones antivirus de Kaspersky Lab:

• Comprueba si tu solución de seguridad incluye componentes Seguridad Kaspersky Monitor de actividad y red (también conocido como System Watcher). Si no, asegúrese de encenderlo.

Para aquellos que no utilizan las soluciones antivirus de Kaspersky Lab.

Ayer, 24 de octubre de 2017, grandes medios de comunicación rusos, así como varias agencias gubernamentales ucranianas, fueron atacados por atacantes desconocidos. Entre las víctimas se encontraban Interfax, Fontanka y al menos otra publicación en línea anónima. Siguiendo a los medios, también se reportaron problemas. Aeropuerto internacional"Odessa", el Metro de Kyiv y el Ministerio de Infraestructura de Ucrania. Según un comunicado de los analistas del Grupo-IB, los delincuentes también intentaron atacar las infraestructuras bancarias, pero sus intentos fueron infructuosos. Los especialistas de ESET, por su parte, afirman que los ataques afectaron a usuarios de Bulgaria, Turquía y Japón.

Al final resultó que, las interrupciones en el trabajo de empresas y agencias gubernamentales no fueron causadas por ataques DDoS masivos, sino por un ransomware llamado Bad Rabbit (algunos expertos prefieren escribir BadRabbit sin espacio).

Ayer poco se sabía sobre el malware y sus mecanismos de funcionamiento: se informó que el ransomware exigía un rescate de 0,05 bitcoins, y los expertos del Grupo IB también dijeron que el ataque se estaba preparando desde hacía varios días. Así, se descubrieron dos scripts JS en el sitio web de los atacantes y, a juzgar por la información del servidor, uno de ellos se actualizó el 19 de octubre de 2017.

Ahora, aunque no ha pasado ni un día desde el inicio de los ataques, el análisis del ransomware ya ha sido realizado por especialistas de casi todas las empresas líderes en seguridad informática del mundo. Entonces, ¿qué es Bad Rabbit? ¿Deberíamos esperar una nueva “epidemia de ransomware” como WannaCry o NotPetya?

¿Cómo logró Bad Rabbit provocar importantes interrupciones en los medios cuando se trataba de actualizaciones Flash falsas? De acuerdo a ESET , Emsisoft Y Fox-IT, después de la infección, el malware utilizó la utilidad Mimikatz para extraer contraseñas de LSASS y también tenía una lista de los inicios de sesión y contraseñas más comunes. El malware utilizó todo esto para propagarse a través de SMB y WebDAV a otros servidores y estaciones de trabajo ubicados en la misma red que el dispositivo infectado. Al mismo tiempo, los expertos de las empresas mencionadas anteriormente y los empleados de Cisco Talos creen que en este caso no hubo herramientas robadas de agencias de inteligencia que explotaran las fallas de las SMB. Déjame recordarte que virus WannaCry y NotPetya se distribuyeron utilizando este exploit en particular.

Sin embargo, los expertos lograron encontrar algunas similitudes entre Bad Rabbit y Petya (NotPetya). Por lo tanto, el ransomware no solo cifra los archivos del usuario usando DiskCryptor de código abierto, sino que modifica el MBR (Master Boot Record), después de lo cual reinicia la computadora y muestra un mensaje exigiendo un rescate.

Aunque el mensaje con las exigencias de los atacantes es casi idéntico al mensaje de los operadores de NotPetya, los expertos tienen opiniones ligeramente diferentes sobre la conexión entre Bad Rabbit y NotPetya. Así, los analistas de Intezer calcularon que el código fuente del malware

A finales de los años 1980, el virus del SIDA (“PC Cyborg”), escrito por Joseph Popp, ocultaba directorios y archivos cifrados, requiriendo el pago de unos 200 dólares por una “renovación de licencia”. Al principio, el ransomware estaba dirigido únicamente a personas comunes y corrientes que utilizaban computadoras con control de ventanas, pero ahora la amenaza en sí se ha convertido en un problema grave para las empresas: cada vez aparecen más programas, se vuelven más baratos y accesibles. La extorsión mediante malware es la principal amenaza cibernética en 2/3 de los países de la UE. Uno de los virus ransomware más comunes, CryptoLocker, ha infectado más de un cuarto de millón de ordenadores en países de la UE desde septiembre de 2013.

En 2016, el número de ataques de ransomware aumentó drásticamente: según los analistas, más de cien veces en comparación con el año anterior. Esta es una tendencia creciente y, como hemos visto, empresas y organizaciones completamente diferentes están bajo ataque. La amenaza también es relevante para las organizaciones sin fines de lucro. Dado que en cada ataque importante los atacantes actualizan y prueban los programas maliciosos para "pasar" la protección antivirus, los antivirus, por regla general, son impotentes contra ellos.

El 12 de octubre, el Servicio de Seguridad de Ucrania advirtió sobre la probabilidad de nuevos ataques cibernéticos a gran escala contra agencias gubernamentales y empresas privadas, similar a la epidemia de ransomware de junio. NoPetya. Según el servicio de inteligencia ucraniano, “el ataque podría llevarse a cabo mediante actualizaciones, incluido el software de aplicación disponible públicamente”. Recordemos que en caso de ataque No Petya, que los investigadores vincularon al grupo BlackEnergy, las primeras víctimas fueron empresas que utilizaban software Desarrollador ucraniano del sistema de gestión de documentos “M.E.Doc”.

Luego, en las primeras 2 horas, fueron atacadas empresas de energía, telecomunicaciones y financieras: Zaporozhyeoblenergo, Dneproenergo, Dnieper Electric Power System, Mondelez International, Oschadbank, Mars, Nova Poshta, Nivea, TESA, Kiev Metro, computadoras del Gabinete de Ministros y el Gobierno de Ucrania, las tiendas "Auchan", los operadores ucranianos ("Kyivstar", LifeCell, "UkrTeleCom"), Privatbank, el aeropuerto de Boryspil.

Un poco antes, en mayo de 2017, el virus ransomware WannaCry atacó 200.000 ordenadores en 150 países. El virus se propagó a través de las redes de universidades en China, fábricas de Renault en Francia y Nissan en Japón, la empresa de telecomunicaciones Telefónica en España y el operador ferroviario Deutsche Bahn en Alemania. Debido a los ordenadores bloqueados en las clínicas del Reino Unido, las operaciones tuvieron que posponerse y las unidades regionales del Ministerio del Interior ruso no pudieron emitir licencias de conducir. Los investigadores dijeron que los piratas informáticos norcoreanos de Lazarus estaban detrás del ataque.

En 2017, los virus cifrados alcanzaron un nuevo nivel: el uso de herramientas de los arsenales de los servicios de inteligencia estadounidenses y nuevos mecanismos de distribución por parte de los ciberdelincuentes provocaron epidemias internacionales, las mayores de las cuales fueron WannaCry y NotPetya. A pesar de la magnitud de la infección, el ransomware en sí recaudó cantidades relativamente insignificantes; lo más probable es que no se tratara de intentos de ganar dinero, sino de probar el nivel de protección de las redes de infraestructura crítica de empresas, agencias gubernamentales y empresas privadas.