De acordo com os relatórios do Cisco Talos, o ransomware Bad Rabbit parece ser baseado no malware Nyetya baseado em backdoor do DoublePulsar que é baseado no Petya Ransomware. O mesmo relatório também afirma que grande parte do código do Bad Rabbit também foi reescrito.
Hackers NotPetya provavelmente por trás do ataque BadRabbit!
Recentemente, encontramos alguns ataques de ransomware massivos como Petya e WannaCry. Apenas alguns dias atrás, vimos uma campanha de ransomware em larga escala ser vista por empresas de segurança que atende pelo nome de Bad Rabbit.
Bem, o malware Bad Rabbit está se espalhando como um instalador Adobe Flash Player infectado. Sempre que os usuários instalam o Adobe Flash Player disfarçado, todos os arquivos do computador são criptografados imediatamente e as vítimas são solicitadas a pagar o resgate.
De acordo com os relatórios do Cisco Talos, o ransomware Bad Rabbit parece ser baseado no malware Nyetya baseado em backdoor do DoublePulsar que é baseado no Petya Ransomware. O mesmo relatório também afirma que grande parte do código do Bad Rabbit também foi reescrito.
Bem, anteriormente os relatórios de alguma fonte popular afirmam que exploits baseados em NSA não estão envolvidos neste ataque do Bad Rabbit. No entanto, Bad Rabbit usa um exploit que atende pelo nome de EternalRomance para contornar a segurança nas conexões de compartilhamento de arquivos SMB.
Os corretores do grupo de hackers Shadow publicaram o exploit EternalRomance. No entanto, a Microsoft corrigiu o exploit EternalRomance em março de 2016. Basicamente, o exploit EternalRomance sobrescreve o contexto de segurança de sessão do kernel, que permite ao hacker lançar serviços remotos.
Se isso não for o suficiente para você, deixe-me dizer que os pesquisadores também descobriram que a cadeia de ferramentas de construção do Bad Rabbit é muito semelhante à de Nyetya. Além disso, as técnicas implementadas no Bad Rabbit também são semelhantes ao Nyetya.
Para obter mais detalhes sobre Bad Rabbit, visite Cisco Talos postagem do blog. Então, o que você pensa sobre isso? Compartilhe suas opiniões na caixa de comentários abaixo.
0 Comments