Bad Rabbit, el caos volvió a la red

Hace unas semanas se extendía la alerta por culpa de una nueva oleada de malware de cifrado que inició su actividad en Rusia para después extenderse por Europa del este, dejando sin actividad a agencias de noticias, estaciones de tren e incluso aeropuertos. Su nombre, Bad Rabbit, que parecía apuntar específicamente a las redes corporativas mediante el uso de métodos similares a los utilizados por NotPetya el pasado mes de junio, un ciberataque que echó abajo ordenadores en todo el mundo.

Este reportaje fue publicado en el número de Noviembre de la Revista IT Digital Security, cuyo tema de portada se centró en la Seguridad Endpoint. Aún estás a tiempo de descargarte la revista.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

El método de infección inicial de Bad Rabbit se produce a través de descargas en sitios web infectados. El malware está disfrazado como una actualización falsa de Adobe Flash Player que una vez instalada en el ordenador de la víctima intenta propagarse por la red a través de SMB (Server Message Block). Para obtener las credenciales necesarias, BadRabbit viene con una versión de Mimikatz (Hacktool.Mimikatz), una herramienta de hacking que es capaz de cambiar privilegios y recuperar contraseñas de Windows en texto sin formato. El malware también usa una lista codificada de credenciales predeterminadas usadas comúnmente para intentar adivinar las contraseñas. Además de esto, intentará explotar la vulnerabilidad EternalRomance para propagarse a computadoras vulnerables.

Bad Rabbit vs Petya

Bad Rabbit tiene muchas similitudes con el brote de Petya (Ransom.Petya) de junio de 2017. Ambas familias de malware usan un estilo similar de nota de rescate y emplean un mecanismo de auto-propagación.

Investigadores de Crowdstrike, una firma de seguridad endopoint, detectaron que la DLL (biblioteca de enlaces dinámicos) de Bad Rabbit y NotPetya comparten el 67% del mismo código, lo que indica que las dos variantes de ransomware no sólo están estrechamente relacionadas, sino que incluso podrían ser el trabajo de la misma persona u organización.

Ambas amenazas también contienen un componente que se dirige al registro de inicio maestro (MBR) de un ordenador infectado, sobrescribiendo el MBR existente.

Sin embargo, mientras Petya utiliza EternalBlue y los exploits relacionados de EternalRomance para propagarse, además de las técnicas clásicas de propagación de redes SMB, BadRabbit no usa EternalBlue y solo usa EternalRomance junto con la propagación clásica de SMB. En segundo lugar, Petya era técnicamente un limpiador en lugar de ransomware, ya que no había forma de recuperar una clave de descifrado.

Uno de los aspectos más notables de BadRabbit es el uso de al menos tres herramientas de código abierto de terceros. Además de Mimikatz, BadRabbit también usa la herramienta de cifrado de código abierto DiskCryptor para realizar el cifrado, junto con controladores de ReactOS, una alternativa de código abierto para Windows, lo que reduce la cantidad de actividad sospechosa detectable en una computadora infectada.

EternalRomance

Cuando se detectaron los primeros ataques de Bad Rabbit, se creyó inicialmente que el malware estaba utilizando EternalBlue, el exploit que ayudó a extender a Wannacry, pero poco tardaron los expertos en darse cuenta de que no era el caso y que lo que se estaba utilizando en realidad era una vulnerabilidad conocida como EternalRomance, que fue la utilizada para la distribución de NotPetya.

Y de lo malo, lo peor, porque tanto EternalBlue como EternalRomance son vulnerabilidades que fueron parcheadas por Microsoft el pasado mes de marzo, lo que vuelve a poner de manifiesto, una vez más, que la gestión de vulnerabilidades es una asignatura pendiente entre las empresas, y eso a pesar del impacto que están teniendo ataques como los de Petya o Wannacry.

En lo que se refiere a Bad Rabbit, la implementación de EternalBlue se usa para sobrescribir el contexto de seguridad de la sesión del kernel. Eso le permite lanzar servicios remotos e intentar encontrar otros sistemas cercanos a través de las conexiones SMB, para después propagar el ransomware. Recordemos que NotPetya utilizó EternalRomance para instalar la puerta trasera DoublePulsar.
En ambos casos, las acciones son posibles debido a la forma en que EternalRomance permite al atacante leer y escribir datos arbitrarios en el espacio de la memoria del kernel para propagar ransomware.

Pagar o no pagar

Iniciada la Ruta en Rusia, ya ha habido organizaciones de Rusia, Corea del Sur o Polonia que han reconocido haber sido víctimas del malware. Sin embargo, y a pesar de que a Bad Rabboit se le compara con Wannacry y NotPety, el número total de infecciones es bastante inferior. Frente a los cientos de miles de sistemas que cayeron víctimas de esas amenazas, se calcula que Bad Rabbit ha impactado en menos de 300 organizaciones.

Es difícil saber cuántas empresas han pagado. Las víctimas son redirigidas a una página de pago de Tor que demanda el pago de 0,05 bitcoins, unos 250 euros, para descifrar los archivos cifrados. A las víctimas se las amenaza con incrementar el rescate en caso de no pagar antes de 48 horas.

Para el cifrado se ha utilizado DiskCryptor, que es un software de código abierto para cifrado de disco. Las claves son generadas utilizando CryptGenRandom y después protegidas por una clave pública RSA 2048 codificada.