Bad Rabbit se propaga por instalação fake do Flash Player da Adobe
A análise inicial da Trend Micro, especializada em segurança, mostra que o Bad Rabbit – ransomware que está criando estragos em países da Europa Oriental, em especial na Rússia e na Ucrânia – se espalha através de ataques do tipo “watering hole” que levam a um falso instalador de Flash denominado “install_flash_player.exe”.
Os sites comprometidos são injetados com um script que contém uma URL que direciona ao endereço hxxp: // 1dnscontrol [.] Com / flash_install, (inacessível até o momento da publicação deste comunicado). A Trend Micro observou também que alguns sites foram comprometidos na Dinamarca, Irlanda, Turquia e Rússia, que levavam ao falso instalador do Flash. Uma vez que o instalador falso é clicado, ele solta o arquivo criptografado infpub.dat usando o processo rundll32.exe, juntamente com o arquivo criptografado dispci.exe.
Em sua rotina, explicam os analistas da Trend Micro, o Bad Rabbit usa um trio de arquivos que trazem referência a série Game of Thrones, começando com rhaegal.job, responsável por executar o arquivo criptografo, bem como um segundo arquivo de trabalho, drogon.job, que é responsável para desligar a máquina da vítima. Em seguida, o ransomware irá então criptografar os arquivos no sistema e exigirá resgate dos donos das máquinas sequestradas.
O Bad Rabbit se espalha para outras máquinas, fazendo cópias de si mesmo na rede, usando o nome original e executando as cópias em por meio do Windows Management Instrumentation (WMI) e o Service Control Manager. Quando o protocolo remoto do Service Control Manager é usado, ele usa ataques de dicionário para as credenciais.
Em relação às ferramentas que o Bad Rabbit incorpora, o utilitário de código aberto Mimikatz, é usado para a extração de credenciais. A Trend Micro também encontrou evidências desse dado usando o DiskCryptor, uma legítima ferramenta de criptografia de disco, para criptografar os alvos de destino. É importante notar, sustentam os analistas da Trend Micro, que o Bad Rabbit não explora quaisquer vulnerabilidades, ao contrário de Petya que usou EternalBlue e a vulnerabilidade do Windows como parte de sua rotina.