BadRabbit Ransomware

El día 24 de Octubre de 2017 se dió a conocer un incidente de ciberseguridad del cual fueron víctimas algunas organizaciones en ciertos países del mundo, Russia, Ukraine, Bulgaria, and Turkey.

Esta vez se trata de un ataque de un nuevo ransomware, llamado BadRabbit. El mismo, utiliza múltiples vectores de ataque, siendo SMB sólo uno de ellos. No se detectó el C&C, luego de la infección, la víctima no se conecta con el atacante

El malware fue enviado a través de una actualización falsa de Adobe Flash.

A la fecha de este reporte, se sabe que el sitio desde donde se descargaba el mismo fue dado de baja pero no se conoce ninguna herramienta para el descifrado de los archivos afectados.
Es importante tener en cuenta que aún los sistemas actualizados correctamente pueden verse afectados por este problema.

Denominaciones posibles Win32/Diskcoder.D (ESET), Trojan-Ransom.Win32.Gen.ftl (Kaspersky), Win32/Tibbar.A (Microsoft), Troj/Ransom-ERK (Sophos)

Sistema afectado Windows XP – Windows 10.

El Antivirus Windows Defender, con versión de actualización 1.255.29.0 o mayor, detecta y elimina esta amenza. (https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia- description?Name=Ransom:Win32/Tibbar.A)
Dada la criticidad, se recomienda aplicar los parches de seguridad de forma urgente.

Recomendaciones

Prevención

• Actualizar los sistemas
• Realizar respaldos y mantenerlos al día
• No exponer el protocolo SMB hacia fuera de la red. Bloquear puerto 445 protocolo TCP
• Deshabilitar SMBv1
• No correr procesos con privilegios de administrador si no es necesario
• Deshabilitar WMIC (Windows Management Instrumentation Command-line) si no se utiliza
• Evitar abrir archivos y/o links de fuentes desconocidas ya sea recibidos por correo electrónico o descargados de sitios web no confiables

Recuperación

• Puede recuperar sus sistemas desde los respaldos. Si los mismos no estuvieran disponibles, podría intentar su recuperación mediante el uso de Shadow Recover. En el siguiente link podrá encontrar una guía: https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volume- copies/
• Si el sistema es apagado antes de su reinicio se podría reestablecer el MBR con el comando “bootrec /FixMbr” (Vista+, Windows XP “fixmbr”)

Vacuna

El proceso de cifrado puede prevenirse mediante la creación de 2 archivos de sólo lectura llamados “cscc.dat” e “infpub.dat” en %windir%. Cybereason ofrece una descripción de cómo puede realizarse esto en forma manual: https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware
Actualizaciones disponibles
MS17-010 (ETERNALBLUE and ETERNALROMANCE) del 14 de Marzo: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Microsoft también divulgó un parche para las versiones viejas de Windows el 12 de Mayo: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/