Os pesquisadores da Kaspersky Lab estão alertando sobre um novo ransomware intitulado Bad Rabbit, que pode tomar proporções gigantescas, como ocorreu com o WannaCry e o Petrwarp (também conhecido como NotPetya). Esse nova ameaça está se espalhando rapidamente entre as máquinas Windows nas redes corporativas da Rússia, Ucrânia, Estados Unidos, Japão e Turquia. Ainda não existem casos confirmados no Brasil.
Aparentemente, uma nova variante do Petrwarp, o Bad Rabbit utiliza o DiskCryptor, um software opensource de critpografia total do discos e pede como resgate 0,05 bitcoin (cerca de R$ 900) por dispositivo infectado.
De acordo com informações da BBC, três sites na Russia, um aeroporto na Ucránia e parte do transporte subterrâneo da capital ucraniana, Kiev, foram afetados pela ameaça. A Kaspersky Lab diz que mais de 200 empresas na Rússia, Ucrânia, Túrquia e Alemanha já foram afetadas por esse novo ransomware. A ameaça chega aos dispositivos por intermédio de uma falsa atualização para o Adobe Flash Player, que será descontinuado em 2020.
As informações sobre os métodos de propagação ainda são poucas e divergentes. Alguns fabricantes de antivírus comunicam que o malware usa a vulnerabilidade conhecida como EternalBlue (similar ao usado no NotPetya) para se espalhar e fazer o movimento lateral. Outros, afirmam que o malware procura e tenta acesso via compartilhamentos, usando uma lista pré-definida de usuários e senhas padrão para se autocopiar posteriormente para a máquina de destino.[
Tela do Bad Rabbit
Um consenso é que uma vez na máquina destino o malware usa o software conhecido como Mimikatz para procurar credenciais válidas na memória e acessar novos equipamentos, dando sequência ao ciclo. De acordo com a empresa de segurança Group-IB, há semelhanças do código do Bad Rabbit com o do NotPetya.
A empresa de segurança CIPHER recomenda as seguintes dicas para proteção:
- Durante a navegação, caso apareça mensagens sobre atualizações de software, valide a informação diretamente no website do fabricante do produto, antes de clicar;
- Evite o download e uso de software vindos de fontes desconhecidas ou duvidosas;
- Tenha sempre backups dos seus dados mais sensíveis. Nestes casos, é indicado ter múltiplos backups;
- Tenha sempre antivírus atualizado, preferencialmente software pagos, que tendem a lançar vacinas de forma mais rápida;
- Mantenha seus equipamentos atualizados, use sempre o Windows Update.
- Por enquanto os pesquisadores sugerem que desabilitando o serviço WMI do Windows evita que o malware se espalhe pela rede (para desativar o serviço WMI, através da linha de comando, digite net stop winmgmt no CMD