Google

Ransomware “Bad Rabbit”

Written on:October 26, 2017
Comments
Add One

Una nueva variante de ransomware ha sido esparcida por Europa y Asia, más sin embargo ya está extendiendo su propagación hacia otros objetivos.

Bad Rabbit se ha identificado por una instalación falsa de Flash Player, la cual está contenida en diversos sitios comprometidos por “Watering Hole”. Esta amenaza tiene bases del ransomware Not-Petya, solo que la mayoría de su código ha sido re-escrito.

Su método de propagación inicial se lleva a cabo mediante una tecnica denominada drive-by download desde sitios comprometidos los cuales se ha identificado inyectan codigo JavaScript.

Una vez instalado trata de propagarse de manera lateral mediante SMB, cabe mencionar que también utiliza la herramienta Mimikatz para extraer password en texto plano, asi como una lista de usuarios y password.

Las recomendaciones emitidas es mantener actualizadas las listas de filtrado web, asi como los motores de antivirus, anti-malware, ademas se tiene conocimiento de los siguientes indicadores de compromiso para minimizar un posible ataque o infeccion de esta amenaza.

SHA-1 Nombre de archivo Descripción
79116fe99f2b421c52ef64097f0f39b815b20907 infpub.dat Diskcoder
afeee8b4acff87bc469a6f0364a81ae5d60a2add dispci.exe Lockscreen
413eba3973a15c1a6429d9f170f3e8287f98c21c Mimikatz (32-bits)
16605a4a29a101208457c47ebfde788487be788d Mimikatz (64-bits)
de5c8d858e6e41da715dca1c019df0bfb92d32c0 install_flash_player.exe Dropper
4f61e154230a64902ae035434690bf2b96b4e018 page-main.js JavaScript on compromised sites

Hash (SHA256)

Dropper:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

Payload:

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

C:\Windows\dispci.exe (diskcryptor client)

682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806

C:\Windows\cscc.dat (x32 diskcryptor drv)

0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6

C:\Windows\cscc.dat (x64 diskcryptor drv)

579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648

C:\Windows\infpub.dat

2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035

(mimikatz-like x86)

301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c

(mimikat-like x64)

Nombre de tareas programadas

viserion_

rhaegal

drogon

Dominio de Distribucion:

1dnscontrol[.]com

Path de Distribucion:

/flash_install.php

/index.php

Servidor C&C :

185.149.120[.]3

Sitios comprometidos:

Argumentiru[.]com

Fontanka[.]ru

Adblibri[.]ro

Spbvoditel[.]ru

Grupovo[.]bg

www.sinematurk[.]com

hxxp://www.aica.co[.]jp

hxxp://argumenti[.]ru

hxxp://www.mediaport[.]ua

hxxp://blog.fontanka[.]ru

hxxp://an-crimea[.]ru

hxxp://www.t.ks[.]ua

hxxp://most-dnepr[.]info

hxxp://osvitaportal.com[.]ua

hxxp://www.otbrana[.]com

hxxp://calendar.fontanka[.]ru

hxxp://www.grupovo[.]bg

hxxp://www.pensionhotel[.]cz

hxxp://www.online812[.]ru

hxxp://www.imer[.]ro

hxxp://novayagazeta.spb[.]ru

hxxp://i24.com[.]ua

hxxp://bg.pensionhotel[.]com

hxxp://ankerch-crimea[.]ru

caforssztxqzf2nm[.]onion

Referencias:

http://blog.talosintelligence.com/2017/10/bad-rabbit.html

http://blog.fortinet.com/2017/10/25/tracking-the-bad-rabbit

https://www.welivesecurity.com/la-es/2017/10/25/bad-rabbit-not-petya-de-vuelta/

 

Leave a Comment

Your email address will not be published. Required fields are marked *

%d bloggers like this: