BADRABBIT

Nueva Variante de Ransomware

(Documento versión 1.2 - 25/oct/2017)

El 24 de octubre de 2017, la mayoría de firmas de seguridad detecto una nueva variante de Ransomware, la cual se ha estado distribuyendo en grandes cantidades en todo el mundo. Esta nueva variante tiene el nombre de Bad Rabbit, y comparte muchas similitudes al Ransomware llamado Petya.

¿Qué hace Bad Rabbit?
Bad Rabbit es un ransomware de cifrado de discos duros y archivos individuales. Solicita se realice un pago con BitCoin para que sea entregada la llave para descifrar la información.

Resultado de imagen para badrabbit

http://computerhoy.com/noticias/software/cuidado-badrabbit-nuevo-ransomware-que-ataca-europa-70133

¿Vectores de infección?
- Por medio de un correo de Phishing, se solicita la descarga de un instalador de Flash, desde un sitio fraudulento.
- Una vez infectado el equipo, utiliza mecanismos de comunicaciones de redes de Windows para infectar los equipos vecinos de la red.

o SVCCTL: the remote service management
o SMB2
o SMB
o NTLMSSP authentication brute force

Recomendaciones Generales:
• Asegúrese que sus soluciones de seguridad se encuentren actualizadas.
• NO descarguen o ejecuten programas sugeridos por un correo electrónico.
• Verifique las bitácoras de las soluciones de seguridad, si una computadora presenta signos de comunicación errática por los servicios antes mencionados de Microsoft, o intenta comunicación a los sitios indicadores de compromiso, desconéctela de la red y proceda a sanitizarla.

Indicadores de compromiso:
- Comunicación a los siguientes sitios:

  • 1dnscontrol[.]com
  • Argumentiru[.]com
  • Fontanka[.]ru
  • Adblibri[.]ro
  • Spbvoditel[.]ru
  • Grupovo[.]bg
  • www.sinematurk[.]com

- Abuso de utilización de los siguientes mecanismos:

  • o SVCCTL: the remote service management
  • o SMB2
  • o SMB
  • o NTLMSSP authentication brute force

- Nuevas tareas programadas en los equipos de usuario, con los siguientes nombres:

  • viserion_
  • rhaegal
  • drogon

Recomendaciones específicas para las soluciones de seguridad:

Cisco FirePOWER
Actualice la librería VDB a la última versión, por lo menos versión 290; verifique que los siguientes filtros esten activos en modalidad de notificación para segmentos de redes internas y en modalidad de bloqueo para segmentos de redes públicas:

 

Boletin Bad Rabbit v1_3

 

 

 

 

 

No hay comentarios

Agregar comentario