Há um novo ataque de ransomware em andamento na Europa e na Rússia

Tempo de leitura: 3 minutos

Especialistas da Kaspersky Labs, da ESET e da Proofpoint alertaram os utilizadores para a disseminação do código malicioso Bad Rabbit que sequestra os ficheiros dos computadores afetados e pede um resgate de 0.05 Bitcoin, ou seja, cerca de 260 euros, para os libertar novamente.

Isso tem semelhanças com os surtos WannaCry e Petya no início deste ano.

Na Ucrânia, o ataque foi identificado no aeroporto de Odessa, no metro de Kiev e no Ministério da Infraestrutura, embora não se confirme que é o Bad Rabbit em todas estas situações. Por outro lado, as empresas russas Interfax e Fontanka.ru já confirmaram ter sido vítimas deste código que se espalha disfarçado de atualização do Adobe Flash, explica o Engadget.

Os utilizadores que estão afetados são confrontados com um pedido de resgate e um prazo de 40 horas para pagar, antes de o preço subir novamente.

“Em algumas das empresas, o trabalho foi completamente paralisado – servidores e estações de trabalho são criptografados”, disse o chefe da empresa russa de segurança cibernética Group-IB, Ilya Sachkov, na agência de notícias TASS.

Ainda não há qualquer indicações sobre se esta vaga de ataques está relacionada com o Petya, com o NotPetya ou com o WannaCry, que afetaram milhares de utilizadores em vários países nos últimos tempos. Ainda nenhum grupo de hackers reinvindicou a autoria dos ataques.

Veja mais detalhes:

Histórico

  • Oct 24, 2017 – ESET article posted to WeLiveSecurity web site
  • Oct 24, 2017 – XFE collection created
  • Oct 25, 2017 – XFE collection assessment published in XFTAS newsletter

Empresas 

  • Interfax
  • Fontanka
  • Kiev Metro
  • Transportation industry
  • Government organizations

Países já afetados

  • Russia: 65%
  • Ukraine: 12.2%
  • Bulgaria: 10.2%
  • Turkey: 6.4%
  • Japan: 3.8%
  • Other: 2.4%

Industrias

  • Transportation
  • Government
  • News agencies

Tipo de ataque

  • Ransomware
  • Credential theft

Indicadores de compromisso (IoCs)

Sites comprometidos

Usado Malware

  • Discoder.D
  • Mimikatz

Recomendações

Verifique se o software anti-vírus e os arquivos de assinatura associados estão atualizados.

Local Kill Switch (Grupo-IB):
Crie o arquivo C: \ windows \ infpub.dat
Defina-o como somente leitura. Depois disso, mesmo se infectados, os arquivos não serão criptografados.

Please reference the IBM Ransomware Response Guide.

Referências

Fornecedores e pesquisadores

Para se proteger, conte com a Introduce e fale conosco.