El ransomware Bad Rabbit tiene implementando un exploit de la NSA

Hace dos días informábamos sobre Bad Rabbit, un ransomware cuya peligrosidad podría ser comparable a la de WannaCry y NotPetya.

Sin embargo, una cosa no terminó de quedar clara sobre Bad Rabbit: ¿Qué utiliza para esparcirse mediante Internet? En un principio se descartó la explotación de alguna vulnerabilidad hallada en SMB, por lo que se especuló con un mecanismo complejo que hace uso del mismo protocolo. Sin embargo, investigadores de Cisco Talos y F-Secure han descubierto que el ransomware está usando una versión modificada de un exploit procedente de la NSA.

Los que sigan la actualidad en torno a los grupos de hackers posiblemente hayan pensado en la utilización de las herramientas y exploits que Shadow Brokers robó de la NSA, y no están equivocados. WannaCry implementó el exploit ETERNALBLUE y NotPetya incluyó además a ETERNALROMANCE.

Aunque al principio los investigadores descartaron que Bad Rabbit hubiese hecho uso de algunas de las herramientas procedentes de la NSA, tras analizar el malware de forma más exhaustiva descubrieron evidencias de que tiene implementado ETERNALROMANCE, un exploit que sirve para esparcir mediante el protocolo SMB.

El motivo de por qué ETERNALROMANCE no fue detectado en un principio fue debido a que Bad Rabbit no implementa una versión vanilla (que podríamos traducir como pura) del mismo, sino que incorpora una versión modificada. Según los investigadores de Talos, su implementación resulta diferente a la incluida en NotPetya, a pesar de guardar todavía similitudes con el material original de la NSA.

Por otro lado, F-Secure se muestra segura de que los autores de NotPetya y Bad Rabbit son los mismos, pudiéndose tratar de TeleBots, un grupo de ciberespionaje que podría tener vínculos con el Gobierno de Rusia.

Fuente: BleepingComputer

via MuySeguridad