BadRabbit: el ransomware Not-Petya está de vuelta y con algunas mejoras

Monday 30th, October 2017 / 15:56
BadRabbit: el ransomware Not-Petya está de vuelta y con algunas mejoras

Investigadores de seguridad de ESET descubrieron un nuevo brote de ransomware que atacó ayer a grandes infraestructuras en Ucrania, incluyendo al Metro de Kiev. Se hizo un análisis detallado y a continuación presentamos los hallazgos sobre esta nueva variante Diskcoder.D

Uno de los métodos de distribución de BadRabbit es un drive-bydownload. Algunos sitios populares son comprometidos usando la técnica wateringhole y se les inyecta JavaScript en su HTML o en uno de sus archivos .js.

JavaScript

Este script reporta los siguientes componentes a 185.149.120[.]3, que no parece responder en este momento.

  • User-Agent del navegador
  • Referrer
  • Cookie del sitiovisitado
  • Nombre de dominio del sitio visitado

La lógica de programación del lado del servidor puede determinar si el visitante es un blanco de interés y luego añadir contenido en la página. Hemos visto, por ejemplo, cómo aparece una ventana emergente pidiendo descargar una actualización de Flash Player en el medio de la página.

Al hacer clic en el botón “Instalar”, se inicia la descarga de un archivo ejecutable desde 1dnscontrol[.]com. Este ejecutable, install_flash_player.exe, es el dropper de Win32/Filecoder.D.

Luego, la computadora finalmente se bloquea y aparece el pedido de rescate típico del ransomware: win32/Diskcoder.D tiene la habilidad de propagarse a través del protocolo Server Message Block (SMB). A diferencia de algunos reportes que han estado circulando, no explota la vulnerabilidad EternalBlue como era el caso en el brote de Win32/Diskcoder.C (Not-Petya).

Primero, escanea la red interna en busca de estos componentes abiertos de SMB:

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spoolss
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

Se ejecuta Mimikatz en el equipo comprometido para recolectar credenciales. También hay una lista hardcodeada de nombres de usuario y contraseñas. Cuando se encuentran las credenciales funcionales, se descarga el archivo infpub.dat en el directorio de Windows y se ejecuta a través de SCManager y rundll.exe.