Bad Rabbit, el nuevo ransomware que podría seguir los pasos de WannaCry y NotPetya
Los ransomware que se esparcen a gran velocidad y sin control se han convertido en uno de los mayores temores tanto de usuarios particulares como de empresas. Aprovechándose muchas veces del incorrecto mantenimiento del software, los ciberdelincuentes crean malware destinado a explotar vulnerabilidades descubiertas hace tiempo, como ya pasó con WannaCry y NotPetya.
En los últimos días ha aparecido un nuevo ransomware que parece estar siguiendo los pasos de WannaCry y NotPetya: Bad Rabbit (conejo malo). Al parecer, el malware ha estado causando estragos desde el día de ayer en Rusia y Ucrania, habiendo llegado más tarde a Turquía y Alemania. Entre las víctimas hay estaciones de tren, aeropuertos y agencias de noticias. Por otro lado, expertos de Kaspersky Lab y ESET creen que pueden tener relación con NotPetya.
Para llevar a cabo el proceso de infección utiliza ingeniería social, haciéndose pasar por un instalador de Adobe Flash Player. Una vez haya infectado la computadora inicial, intentará esparcirse a través de la red local utilizando una lista de nombres de usuario y contraseñas, por lo que resulta determinante utilizar un nombre de usuario y sobre todo una contraseña que no sean sencillas de adivinar. Como método de esparcimiento de momento se descarta la utilización de la vulnerabilidad de SMB utilizada por WannaCry y NotPetya.
Bad Rabbit no solo cifra los ficheros personales que encuentre utilizando claves RSA 2048, añadiéndoles la extensión .encrypted, sino que además también cifra el MBR del disco duro utilizando DiskCryptor, una herramienta de cifrado completo de disco Open Source. Para el pago del rescate pide 0,05 bitcoins que se tienen que pagar mediante la red Tor.
Algunas soluciones antimalware ya son capaces de detectar y neutralizar Bad Rabbit, sin embargo, la peligrosidad del ransomware hace que siempre sea bueno tomar precauciones adicionales y no delegar toda la seguridad e integridad de nuestros datos en el antimalware.
Desde MuySeguridad hemos insistido muchas veces sobre las medidas a tomar para prevenir el ransomware, pudiéndose destacar el tener el software siempre actualizado, la utilización de un usuario sin privilegios de administrador para tareas comunes y sobre la realización de copias de seguridad (copiar y pegar los ficheros en un disco duro externo por mencionar la vía más simple).
Además, y centrándonos sobre todo en el caso concreto de Bad Rabibit, también sería recomendable dejar de usar Flash, una tecnología que tiene los días contados y cuyo historial a nivel de seguridad es ya bastante oscuro. Aplicaciones como Google Chrome intentan que a la hora de la verdad solo tenga un uso marginal.
Fuentes: Naked Security, The Hacker News y TechCrunch
via MuySeguridad
Deja tu comentario