O que aconteceu?
No dia 24 de Outubro de 2017, às 18:06, a Securelist da Kaspersky, observou diversas notificações de um ataque em massa provocado por um ransomware chamado Bad Rabbit (do português Coelho do Mal). Organizações e consumidores são os principais alvos do ransomware, principalmente na Rússia, porém, casos na Ucrânia, Turquia e Alemanha já foram identificados.
A imagem que os usuários infectados estão recebendo é a seguinte:
O estilo de ataque, como a imagem que aparece na hora do sequestro, são bem parecidos com o Petya (outro grande ataque de ransomware em 2017), porém fontes indicam que ambos os malwares não tem ligação.
Como o Bad Rabbit é distribuído?
O ransomware utiliza-se da técnica dropper (programas que, secretamente, malwares nos computadores, desenvolvidos em seu próprio código) com a ajuda de ataques drive-by (cibercriminosos procuram sites que não estão 100% protegidos, e injetam linhas de códigos com os arquivos maliciosos, que serão baixados automaticamente). Quando o usuário está navegando no site, o malware está sendo baixado.
Brechas na segurança não estão sendo utilizados: após o download dos arquivos corrompidos, os usuários necessitam executá-lo para realizar a infecção.
O principal programa que o Bad Rabbit está se “disfarçando”, no momento do download, é o Adobe Flash Player. Ao clicar no instalador, a máquina é capturada.
Quem ele ataca?
A maioria dos ataques está localizado na Rússia, porém deve chegar ao Brasil entre hoje (25/10) no período da manhã, até amanhã à tarde (26/10).
Como se proteger
? Bloqueie os arquivos conhecidos de infecção c:\windows\infpub.dat e c:\Windows\cscc.dat
? Desabilite o serviço WMI (caso seu ambiente permita) para prevenir que o ransomware espalhe na sua rede!
? Atualize seus backups!!
? Não pague o ransomware em caso de infecção, isso não é garantia que seus dados voltarão.