Em 24 de outubro os meios de comunicação informaram sobre um surto de Ransomware que afeta várias organizações na Europa Oriental, principalmente na Rússia e na Ucrânia. Identificado como “Bad Rabbit”, os relatórios iniciais sobre o Ransomware criaram comparações com os ataques WannaCry e NotPetya (EternalPetya) no início deste ano. Embora a F-Secure ainda não tenha recebido relatórios de infecções de nossos próprios clientes, estamos investigando ativamente. E enquanto a investigação ainda está em andamento, os resultados iniciais da nossa análise encontraram semelhanças entre Bad Rabbit e o NotPetya Ransomware que atingiu empresas no final do mês de junho.

Nós pensamos que há boas evidências que sugerem que a mesma pessoa ou grupo é responsável pelos ataques da autoria do NotPetya de junho e o que estamos vendo agora com o Bad Rabbit. Os autores de malware muitas vezes executam algo que já esteja funcionando, então encontrar as mesmas características em diferentes famílias não é incomum. Mas as semelhanças que estamos vendo aqui são demais para ser apenas um invasor copiando outro.

Sem ficar muito técnico, aqui está algumas semelhanças entre NotPetya e Bad Rabbit:

  • A estrutura geral do código é similar
  • Código de criptografia de arquivo é muito semelhante
  • Método semelhante de verificação de processos existentes e criptografia de arquivos
  • Método semelhante usado para reiniciar computadores
  • O mesmo truque usado para iniciar o componente principal do malware como uma DLL
  • Código idêntico usado para analisar a linha de comando
  • Métodos de propagação semelhantes, incluindo uma “biblioteca” idêntica de outros computadores encontrados na rede e uso do Mimikatz para coletar credenciais
  • Das 113 extensões de arquivo usadas pelo BadRabbit, 65 são compartilhadas com NotPetya (Bad Rabbit tem um adicional de 48)

Há também algumas diferenças notáveis entre os dois, incluindo:

  • Bad Rabbit não usa EternalBlue/EternalRomance vulnerabilidade
  • Bad Rabbit não utiliza PsExec para se espalhar
  • Bad Rabbit também criptografa arquivos como .jpgs
  • Bad Rabbit adiciona “.encrypted” ao conteúdo de arquivos criptografados (NotPetya não faz isso, tornando mais difícil distinguir entre arquivos criptografados e não criptografados)
  • O vetor de infecção de Bad Rabbit é através de sites comprometidos. Embora NotPetya tenha sido reportado para ser via MeDoc
  • Tentativa por força bruta do Bad Rabbit usa um conjunto de credenciais predefinidos para compartilhamentos de SMB disponíveis
  • A lista de hashes de processo a serem comparados é diferente do NotPetya. NotPetya se compara aos processos da Symantec e Kaspersky, enquanto o Bad Rabbit compara com a McAfee e a DrWeb

Como NotPetya, Bad Rabbit exibirá as duas notas de resgate – uma para criptografia MBR.

Bad Rabbit Message

E uma nota de texto para criptografia de arquivos.

Os usuários são direcionados para pagar o resgate em um site de pagamento especificado, que também fornece o montante do resgate a ser pago.

Bad Rabbit Payment Site

 

Referências

https://labsblog.f-secure.com/2017/10/26/following-the-bad-rabbit/