Motherboard

Nuevo malware se extiende rápidamente por Rusia y Ucrania

'Bad Rabbit' es un tipo de software malicioso que puede infectar de manera masiva el este de Europa.
Imagen: GettyImages

Una nueva ola de malware llegó a numerosos equipos de computo de Rusia y el este de Europa el pasado martes, según reportan varias cadenas de noticias y compañías de seguridad.

De acuerdo a la empresa de seguridad rusa Group-IB, el ransomware (software malicioso en el que se pide un "rescate" para liberar el equipo infectado) Bad Rabbit atacó tres medios de comunicación rusos, incluyendo la agencia de noticias Interfax. Una vez infectada la computadora, Bad Rabbit muestra un mensaje en letras rojas sobre un fondo negro, la misma estética usada con NotPetya, otro software malicioso activo en junio de este año.

Publicidad

El mensaje de rescate pide a las víctimas acceder a una página de servicio escondida en Tor para realizar un pago de 0.05 Bitcoin, valuados en 282 dólares aproximadamente. El sitio también muestra una cuenta regresiva de menos de 40 horas antes de que el precio de liberación aumente.

Captura de pantalla del sitio onion de Bad Rabbit. Imagen: Motherboard

En este momento, no queda claro quién está detrás del ataque, quiénes son todas las víctimas, cómo se extendió el malware o dónde se originó. Interfax dijo en Twitter que debido al ciberataque sus servidores están caídos. El aeropuerto de Odessa, en Ucrania, también resultó víctima de un ciberataque perjudicial el martes, pero no está claro si fue debido a Bad Rabbit o no.

La agencia computacional de emergencias ucraniana CERT-UA publicó una alerta la mañana del martes advirtiendo sobre una nueva ola de ciberataques, sin mencionar específicamente el malware Bad Rabbit.


Relacionados: El ransomware: un tipo de virus con el que hasta un niño puede 'secuestrar' tus archivos


Un vocero de Group-IB dijo que un "nuevo ciberataque masivo" de Bad Rabbit fue lanzado en contra de las compañías periodísticas Interfax y Fontanka, así como objetivos en Ucrania como el aeropuerto de Odessa, el metro de Kiev y el Ministerio de Infraestructura Ucraniana.

Kaspersky Lab, una empresa de seguridad con sede en Moscú, dijo que la "mayoría" de infecciones Bad Rabbit están en Rusia. Algunas también han llegado a Ucrania, Turquía y Alemania. La compañía describió el asunto Bad Rabbit "como un ataque dirigido contra las redes corporativas".

Publicidad

"Según nuestra información, casi todas las víctimas están ubicadas en Rusia. Asimismo hemos visto ataques similares, pero en menor cantidad, en Ucrania, Turquía y Alemania. Este ransomware infecta dispositivos a través de varios sitios de prensa rusos hackeados", declaró Vyacheslav Zakorzhevsky, líder del equipo de búsqueda anti-malware de Kaspersky Lab. "Basados en nuestra investigación, se trata de un ataque dirigido a las redes empresariales, utilizando métodos similares al ataque ExPetr[NotPetya]. Sin embargo, no podemos confirmar que está relacionado con [NotPetya]."

ESET, otra compañía de seguridad asentada en República Checa, confirmó que hay una campaña latente de ransomware. La compañía dijo en una entrada de su blog que por lo menos en el caso del metro de Kiev, el malware es "una nueva variante también conocida como Petya". El mismo NotPetya era otra variante de Petya. ESET afirmó que ya detectaron "cientos" de infecciones.

Un investigador de Proofpoint dijo que la propagación de Bad Rabbit se dio a través de un instalador falso de Adobe Flash Player. Los investigadores de Kaspersky Lab lo confirmaron y añadieron que el dropper —el archivo que activa el malware— fue distribuido en sitios legítimos encriptados, "todos sitios de noticias o medios de comunicación".

La falsa actualización de Flash no es la única manera en que Bad Rabbit se extiende, de acuerdo con ESET. El ransomware también trata de infectar computadoras dentro de la misma red local, ya que el archivo infectado viaja a través del protocolo SMB de Windows para compartir documentos y luego utiliza la herramienta de código abierto Mimikatz.

Publicidad

Relacionados: Hackers norcoreanos 'robaron' el plan de guerra de EEUU


Al principio, pocas compañías antivirus detectaban a Bad Rabbit como software malicioso, según el depósito de malware VirusTotal. Los investigadores de seguridad también subieron una muestra del malware en Hybrid Analysis, una alternativa gratuita de VirusTotal.

Un experto de McAfee explicó que Bad Rabbit encripta una amplia variedad de archivos, incluyendo .doc, .docx, .jpg y otro tipo de archivos comunes. De acuerdo a varios investigadores, Bad Rabbit contiene referencias a Game of Thrones, específicamente los nombres de tres dragones Drogon, Rhaegal y Viserion.

Los hackers también colocaron una referencia a la película Hackers de 1995 en su código. Como parte de una lista de acreditaciones predeterminadas que usa el malware para atacar computadoras, existen las siguientes contraseñas: amor, secreto, sexo, dios. Las cuatro contraseñas más comunes según la película.

Esta historia fue actualizada varias veces en el día.