Novo ataque Bad Rabbit Ransomware similar ao GoldenEye NotPetya

Publicado por M3Solutions em

Bad Rebbit Ransomware - novo ataque

Mais um ataque de Ransomware aconteceu hoje em grandes empresas da Rússia e na Ucrânia, os ataques ocorreram no sistema de metro de Kiev, no aeroporto de Odessa, e na agência de notícias russa Interfax.

Bad Rabbit Ransomware

Chamado de Bad Rabbit, parece atingir infra-estrutura crítica e entidades de alto perfil no antigo espaço soviético. Em análise feita pela BitDefender, esta nova tensão de ransomware vem incluída com várias ferramentas de código aberto que são alavancadas para criptografia de dados e movimentos laterais, conforme descrito abaixo.

Instalador FALSO do Adobe Flash

O processo de infecção começa com um falso instalador Adobe Flash que é baixado de sites comprometidos. Este falso instalador do Flash mantém a carga real do ransomware em uma sobreposição compactada com ZLIB. Uma vez descriptografado, ele cai e executa o ransomware real (identificado como b14d8faf7f0cbcfad051cefe5f39645f).

A carga útil do ransomware acima mencionada contém pelo menos seis ferramentas diferentes como recursos compactados com ZLIB que são usados ​​para fins de criptografia, bem como para se espalhar lateralmente.

O que é o Bad Rabbit

Bad Rabbit é extremamente similar com GoldenEye / NotPetya, tanto na sua estrutura como com foco mais amplo. Destina-se à infra-estrutura crítica da Ucrânia e é altamente viral devido à sua implementação da Mimikatz, que permite que ela mude de uma estação de trabalho infectada para outra em toda a organização. Ele também possui criptografia de disco através do driver DiskCryptor para que ele possa interferir com o processo de inicialização normal e impedir que o computador seja iniciado.

Fonte: BitDefender

Acompanhe o andamento da análise da BifDefender:

https://labs.bitdefender.com/2017/10/bad-rabbit-ransomware-strikes-ukraine-likely-related-to-goldeneye/


0 comentário

Deixe uma resposta

Avatar placeholder

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CLOSE
CLOSE