Boletim de Segurança sobre o Ransomware Bad Rabbit

Desde a última terça-feira (24/10), diversas empresas reportaram infecção por um malware do tipo ransomware chamado de Bad Rabbit. A contaminação deu início no Ministério de Infraestrutura da Ucrânia e no sistema de transporte público de Kiev. Empresas de mídia da Rússia e outras na Alemanha e na Turquia também comunicaram infecção interna.

Tudo indica que o malware possui relações com o ransomware NotPetya (que apareceu em junho passado). Para a contaminação, um arquivo malicioso se passando pelo instalador do Adobe Flash Player (install_flash_player.exe) é baixado na máquina da vítima quando ela navega por sites contaminados. O malware precisa da execução manual do arquivo pela vítima, diminuindo consideravelmente o potencial de expansão da ameaça, mas depois procura por brechas para movimentação lateral.

Até agora, nenhum caso de contaminação foi reportado no Brasil.

Recomendações

• Conscientização sobre segurança da informação para o usuário final;
• Revisão da necessidade de uso do Flash Player em ambiente corporativo;
• Atualização dos produtos de segurança.

Indicadores de Comprometimentos (IOCs)

Domínios
ht[t]p://185.149.120.3/scholargoogle
ht[t]p://1dnscontrol.com/flash_install.php
ht[t]p://1dnscontrol.com/install_flash_player.exe
1dnscontrol[.]com
caforssztxqzf2nm.onion

Hash-SHA256
2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Hash-SHA1
413eba3973a15c1a6429d9f170f3e8287f98c21c
4f61e154230a64902ae035434690bf2b96b4e018
16605a4a29a101208457c47ebfde788487be788d
79116fe99f2b421c52ef64097f0f39b815b20907
afeee8b4acff87bc469a6f0364a81ae5d60a2add
de5c8d858e6e41da715dca1c019df0bfb92d32c0

FileHash-MD5
b14d8faf7f0cbcfad051cefe5f39645f
fbbdc39af1139aebba4da004475e8839

Domínios legítimos comprometidos

hxxp://argumentiru[.]com
hxxp://www.fontanka[.]ru
hxxp://grupovo[.]bg
hxxp://www.sinematurk[.]com
hxxp://www.aica.co[.]jp
hxxp://spbvoditel[.]ru
hxxp://argumenti[.]ru
hxxp://www.mediaport[.]ua
hxxp://blog.fontanka[.]ru
hxxp://an-crimea[.]ru
hxxp://www.t.ks[.]ua
hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
hxxp://www.otbrana[.]com
hxxp://calendar.fontanka[.]ru
hxxp://www.grupovo[.]bg
hxxp://www.pensionhotel[.]cz
hxxp://www.online812[.]ru
hxxp://www.imer[.]ro
hxxp://novayagazeta.spb[.]ru
hxxp://i24.com[.]ua
hxxp://bg.pensionhotel[.]com
hxxp://ankerch-crimea[.]ru

Vaine Luiz Barreira

Executivo de TI e Segurança da Informação.
Perito em Computação Forense.

LinkedIn 

Share on Facebook0Share on LinkedIn0Share on Google+0
(Visited 199 times, 1 visits today)

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *