Coelho ruim: nova onda de ransomware na Rússia e na Europa Oriental

usinas nucleares de hackers

Uma nova onda de ransomware, a Bad Rabbit, foi lançada ontem, e parece ter direcionado várias empresas e organizações na Rússia e na Europa Oriental.

Bad Rabbit é o terceiro grande ataque de ransomware após os ataques WannaCry e NotPetya.

As vítimas do ataque recente também “derrubaram” computadores na Alemanha e na Turquia, enquanto, segundo o Avast, foram detectados malwares na Polônia e na Coréia do Sul.

Pelo menos três meios de comunicação russos confirmaram o ataque, incluindo a agência de notícias Interfax, o Aeroporto Internacional de Odessa e o metrô de Kiev.

Até agora, os organismos afetados são estimados em cerca de 200. Embora o ataque não esteja dentro do alcance de WannaCry e Petya, parece ter causado vários problemas para os organismos.

Assim que as vítimas abrem seu computador, elas são redirecionadas para uma página do Tor, onde vêem um contador regressivo e são solicitadas a pagar cerca de US $ 285 em bitcoin dentro de 40 horas. Quem não paga o preço dentro de 40 horas, diz-se que precisará pagar mais.

Aparentemente, o ataque usa elementos semelhantes ao ataque do NotPetya e, de acordo com analistas da Crowdstrike, o Bad Rabbit e a DLL (biblioteca de vínculo dinâmico) do NotPetya compartilham 67% de seu código.

A maneira como é transmitida parece ser através de uma atualização falsa do Flash, de sites ou downloads infectados. De fato, alguns sites parecem estar infectados desde junho.

atualização falsa de coelho ruim

A maioria desses sites infectados é encontrada principalmente na Rússia, Bulgária e Turquia.

Ao contrário de outros ataques, no entanto, ele parece ter alvos específicos e não é transmitido a todos os alvos possíveis indiscriminadamente.

De acordo com os pesquisadores da ESET, o código parece indicar que, se um visitante parecer interessado – ou seja, um bom alvo para um ataque -, o conteúdo em questão será adicionado.

Ainda não se sabe quem está por trás do ataque e por que está atacando organizações na Rússia e na Ucrânia. Normalmente, no entanto, as organizações que começam na Rússia evitam seu país, então é muito provável que não sejam hackers russos.

No entanto, parece que quem está por trás é fã (ou fãs) de Game of Thrones, já que o código inclui referências a Viserion, Drogon e Rhaegal, os dragões da conhecida série de TV.

Várias empresas de segurança dizem que seus produtos são protegidos pelo Bad Rabbit, mas a Kaspersky Lab diz que os usuários podem bloquear a execução do arquivo ‘c: windows infpub.dat, C: Windows cscc.dat’. para prevenir infecções.

Fonte