Em 24 de outubro os meios de comunicação informaram sobre um surto de Ransomware que afeta várias organizações na Europa Oriental, principalmente na Rússia e na Ucrânia. Identificado como “Bad Rabbit”, os relatórios iniciais sobre o Ransomware criaram comparações com os ataques WannaCry e NotPetya (EternalPetya) no início deste ano. Embora a F-Secure ainda não tenha recebido relatórios de infecções de nossos próprios clientes, estamos investigando ativamente. E enquanto a investigação ainda está em andamento, os resultados iniciais da nossa análise encontraram semelhanças entre Bad Rabbit e o NotPetya Ransomware que atingiu empresas no final do mês de junho.
Nós pensamos que há boas evidências que sugerem que a mesma pessoa ou grupo é responsável pelos ataques da autoria do NotPetya de junho e o que estamos vendo agora com o Bad Rabbit. Os autores de malware muitas vezes executam algo que já esteja funcionando, então encontrar as mesmas características em diferentes famílias não é incomum. Mas as semelhanças que estamos vendo aqui são demais para ser apenas um invasor copiando outro.
Sem ficar muito técnico, aqui está algumas semelhanças entre NotPetya e Bad Rabbit:
- A estrutura geral do código é similar
- Código de criptografia de arquivo é muito semelhante
- Método semelhante de verificação de processos existentes e criptografia de arquivos
- Método semelhante usado para reiniciar computadores
- O mesmo truque usado para iniciar o componente principal do malware como uma DLL
- Código idêntico usado para analisar a linha de comando
- Métodos de propagação semelhantes, incluindo uma “biblioteca” idêntica de outros computadores encontrados na rede e uso do Mimikatz para coletar credenciais
- Das 113 extensões de arquivo usadas pelo BadRabbit, 65 são compartilhadas com NotPetya (Bad Rabbit tem um adicional de 48)
Há também algumas diferenças notáveis entre os dois, incluindo:
- Bad Rabbit não usa EternalBlue/
EternalRomancevulnerabilidade - Bad Rabbit não utiliza PsExec para se espalhar
- Bad Rabbit também criptografa arquivos como .jpgs
- Bad Rabbit adiciona “.encrypted” ao conteúdo de arquivos criptografados (NotPetya não faz isso, tornando mais difícil distinguir entre arquivos criptografados e não criptografados)
- O vetor de infecção de Bad Rabbit é através de sites comprometidos. Embora NotPetya tenha sido reportado para ser via MeDoc
- Tentativa por força bruta do Bad Rabbit usa um conjunto de credenciais predefinidos para compartilhamentos de SMB disponíveis
- A lista de hashes de processo a serem comparados é diferente do NotPetya. NotPetya se compara aos processos da Symantec e Kaspersky, enquanto o Bad Rabbit compara com a McAfee e a DrWeb
Como NotPetya, Bad Rabbit exibirá as duas notas de resgate – uma para criptografia MBR.
E uma nota de texto para criptografia de arquivos.
Os usuários são direcionados para pagar o resgate em um site de pagamento especificado, que também fornece o montante do resgate a ser pago.
Referências
https://labsblog.f-secure.com/2017/10/26/following-the-bad-rabbit/