Qué es lo que hay que saber (de momento) de la nueva amenaza de #ransomware #BadRabbit

Algunos han despertado hoy reviviendo viejas pesadillas con el ransomware...  los sistemas del Metro de Kiev, el aeropuerto de Odessa y varias organizaciones en Rusia confirmaban que sus sistemas informáticos se habían visto bloqueados debido a que los archivos del sistema operativo habían sido cifrados por un ransomware, esta vez el turno es del denominado BadRabbit.

La amenaza se extiende a otros países de Europa del Este: Alemania, Turquía, Bulgaria, Montenegro... conviene fijar la mirada a este nuevo y lucrativo malware, para lo que me quedo con la síntesis del repositorio de Github de Royce Williams y las noticias que van surgiendo. Que el ransomware nos pille confesados...

Breve descripción:

BadRabbit es un ransomware que es capaz de propagarse de forma local a través de SMB (rescate: $ 0.05 BTC).


Hasta ahora, es dirigido principalmente a Rusia y Ucrania, además de otros países (Alemania, Turquía, Bulgaria, Montenegro). Aunque parece que no se autopropaga a nivel mundial,  podría dirigirse a objetivos seleccionados a propósito.
Las mitigaciones son similares a las de Petya / NotPetya.

Infección inicial:

Aparece como una actualización de flash falsa:

https://twitter.com/jiriatvirlab/status/922835700873158661/photo/1
https://twitter.com/darienhuss/status/922847966767042561



Es probable que las infecciones sean del tipo watering-hole/drive-by, pero también pueden ser dirigidas selectivamente.

Objetivos:

Mayormente afecta a .ru /.ua hasta ahora. Medios de comunicación, transporte, gobierno pueden haber sido los primeros objetivos.
 

Watering holes en Alemania, Turquía, Bulgaria y Montenegro.
Avast dice también Polonia y Corea del Sur?


https://twitter.com/Bing_Chris/status/922932810725326848



Lista de extensiones de archivo específicas:
 

Imagen Tweet: https://twitter.com/craiu/status/922877184494260227
Texto: https://pastebin.com/CwZfyY2F


Componentes y métodos:

- Usa el binario legítimo y firmado de DiskCryptor para cifrar.

- Crea una tarea programada para reiniciar el sistema infectado.

- Parece que usa EternalBlue (o al menos activa controles que están a la espera de su uso) pero no termina de confirmarse. 


- Incorpora Mimikatz para obtener credenciales para propagarse.
 

- Da un mensaje de usuario "por favor apague el antivirus" en algunas circunstancias... lol!
https://twitter.com/0xAmit/status/922871446602502145


- Sobrescribe el MBR para mostrar el mensaje pidiendo el "rescate" 

- También se propaga a través de SMB y WebDAV,  autopropagandose localmente:
https://twitter.com/GossiTheDog/status/922875805033730048

- Usa una lista de credenciales hardcodeadas:
https://pastebin.com/01C05L0C

- C:\WINDOWS\cscc.dat == DiskCryptor (bloquea la ejecución para inocularse?)        https://www.virustotal.com/#/file/682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806/details

- C:\Windows\infpub.dat == #BADRABBIT "pushed" lateralmente (bloquea la ejecución para inocularse?)          Crear una versión de solo lectura de este archivo puede detener la infección.
https://twitter.com/0xAmit/status/922886907796819968

- Análisis del componente flash_install.php:         https://www.hybrid-analysis.com/sample/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da?environmentId=100

- Video en acción:
https://twitter.com/GossiTheDog/status/922858264534142976

- Al parecer, borra los registros de Windows y el journal del sistema de archivos, según ESET

- ¿También instala un keylogger?


- Limpia el sector de arranque y pone kernel al final de la unidad?


- Los C&C y los dominios del payload fueron instalados previamente con mucha antelación:       
https://twitter.com/mrjohnkelly73/status/922899328636735488
https://twitter.com/craiu/status/922911496497238021


- El 13% del código es reusado de notpeyta     
https://analyze.intezer.com/#/analyses/d41e8a98-a106-4b4f-9b7c-fd9e2c80ca7d

- Comparación de extensiones de ficheros cifrados por Petja y BadRabbit: https://twitter.com/craiu/status/922877184494260227


- Podría ser una variante de Diskcoder, según ESET

- 10 diferencias entre el código de Petya y el de BadRabbit:
https://twitter.com/GroupIB_GIB/status/922958914089562112

- Confirman la conexión entre NotPetya y BadRabbit:
https://au.news.yahoo.com/a/37628236/notpetya-hackers-likely-behind-badrabbit-attack-researchers/?cmp=st

- Comparación entre EternalPetya y BadRabbit:
https://bartblaze.blogspot.com.es/2017/10/comparing-eternalpetya-and-badrabbit.html


- Análisis interactivo de BadRabbit.exe: https://app.any.run/tasks/9198fd01-5898-4db9-8188-6ad2ad4f0af3

- EternalRomance Exploit Found in Bad Rabbit Ransomware: https://threatpost.com/eternalromance-exploit-found-in-bad-rabbit-ransomware/128645/

- Muestra de malware (bajo tu propio riesgo). La password está en el tweet: https://twitter.com/gentilkiwi/status/922944766161154053

Referencias de cultura contenidas:

- Dragones de Game of Thrones (Drogon, Rhaegal)
:
https://twitter.com/c0d3inj3cT/status/922886245545476096


- Película de hackers (al final de la lista de contraseñas hardcodeadas)

Detección:

- Regla de Yara (creada por un ingeniero de McAfee)
https://pastebin.com/Y7pJv3tK

IOCs (via ESET)
 
- 79116fe99f2b421c52ef64097f0f39b815b20907 infopub.dat Win32/Diskcoder.D Diskcoder
- afeee8b4acff87bc469a6f0364a81ae5d60a2add dispci.exe Win32/Diskcoder.D Lockscreen
- 413eba3973a15c1a6429d9f170f3e8287f98c21c Win32/RiskWare.Mimikatz.X Mimikatz (32-bits)
- 16605a4a29a101208457c47ebfde788487be788d Win64/Riskware.Mimikatz.X Mimikatz (64-bits)
- de5c8d858e6e41da715dca1c019df0bfb92d32c0 install_flash_player.exe Win32/Diskcoder.D Dropper
- 4f61e154230a64902ae035434690bf2b96b4e018 page-main.js JS/Agent.NWC JavaScript on compromised sites

- fbbdc39af1139aebba4da004475e8839- b14d8faf7f0cbcfad051cefe5f39645f
- caforssztxqzf2nm[.]onion
- 1dnscontrol[.]com/flash_install.php
- 1dnscontrol[.]com/install_flash_player.exe
- 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

Defensa:

- How To Remove The Bad Rabbit Virus From Your Computer

  (via @GossitheDog):
- bloquear tráfico entrante SMB
- usar Credential Guard en Windows
- controlar el número de admins
- monitorizar tareas programadas y creación de servicios
- Vacuna: https://twitter.com/0xAmit/status/922911491694694401
    ** Create the following files c:\windows\infpub.dat && c:\windows\cscc.dat
    ** remove ALL PERMISSIONS (inheritance) and you are now vaccinated. :)
 - Desactiva WMI donde sea posible

Referencias:

- Rough Summary of developing BadRabbit info
- Ukraine cyber police chief says Ukraine hit by 'Badrabbit' malware
- Bad Rabbit: Not-Petya is back with improved ransomware
- Watership downtime: BadRabbit encrypts Russian media, Ukraine transport hub PCs
- BadRabbit ransomware attacks multiple media outlets
- Twitter @GossiTheDog - Bad Rabbit: A new ransomware epidemic is on the rise       
- New Ransomware ‘Bad Rabbit’ Spreading Quickly Through Russia and Ukraine
- Bad Rabbit Ransomware Outbreak Hits Eastern Europe
- Bad Rabbit ransomware
- BadRabbit - Ukranian Metro, Airport hit with ransomware 
- US-CERT . Multiple Ransomware Infections Reported      
- BadRabbit Ransomware Attacks Hitting Russia, Ukraine
- Bad Rabbit: New Ransomware Attack Rapidly Spreading Across Europe
- 'BadRabbit' Ransomware Targets Systems in Russia, Ukraine
- BadRabbit ransomware strikes Eastern Europe
- Bad Rabbit – A new Petya ransomware variant
- Moscow-based Group-IB finds way to stop BadRabbit ransomware
- BadRabbit Technical Analysis 

Comentarios