Tienes alguna consulta? (+598) 2400 4378

infouy@sadvisor.com

Más de lo mismo y un poco más

25 octubre 2017
 octubre 25, 2017
Categoría Noticias

Estamos viviendo un 2017 movido en lo que hace a ransomware y afines.

Habiendo aparecido WannaCry en mayo y NotPetya (o EternalPetya) en junio, el bajo ciber-mundo no descansa y sigue haciendo sus ensayos y acciones. Acaba de empezar a propagarse un nuevo ransomware, conocido como BadRabbit (de acuerdo al encabezado que aparece en el sitio de pago del rescate). Sus similitudes con el NotPetya son varias.

En este sentido, del análisis de su código y funcionamiento, se ha deducido que fue hecho por los mismos individuos, quienes -aparentemente- corrigieron  varios defectos de su anterior creación.

En cuando a sus diferencias, el  BadRabbit dispone de un nuevo núcleo, diferente al de NotPetya, y si bien al igual que este también trabaja con el motor de encriptación de Petya, lo hace de manera correcta. A partir del análisis de su código, se puede estimar que, con la clave adecuada, la recuperación de datos es posible. Es decir, no es irreversiblemente destructivo como resultó ser NotPetya, su antecesor.

A su vez, también difiere de su pariente en su vector de ataque; se comenzó a distribuir  a partir de una actualización falsa de Flash para los navegadores, induciendo a internautas incautos a descargarla y ejecutarla. El sitio original ya no está disponible, pero seguramente existan muchos otros que están cumpliendo la misma función, por lo que es aconsejable ser cautos.

Al igual que muchas variedades de ransomware, tiene implementado el mecanismo para el pago de rescate mediante un sitio en la dark web. En este sentido, también se diferencia del NotPetya, que intentó hacerlo mediante una dirección de email.

Sobre el BadRabbit

BadRabbit encripta una cantidad considerable de tipos de archivos, comparable a la de WannaCry o NotPetya; en este aspecto, la diferencia radica en que no altera las extensiones de los archivos, sino que, identifica a los que va encriptando simplemente agregándole el texto “%encrypted” al final del contenido encriptado.

Su zona cero parece haber sido Ucrania y Rusia, con efectos inmediatos sobre Turquía, Alemania y Bulgaria. Como en todos los casos, la propagación, ya en curso, es inevitable.

En este sentido, se destacan los sistemas corporativos de la firma Interfax y de otras dos grandes agencias de noticias de Rusia, quienes fueron víctimas del ataque. En Ucrania, también fueron alcanzados los sistemas del aeropuerto de Odessa, del metro de Kiev y del Ministerio de Infraestructura.

Inicialmente el rescate exigido es de 5 centésimos de Bitcoin, lo que equivale a unos USD 277.  En cuanto al aumento del pedido de rescate una vez expirado el plazo inicial, aun no hay información.

De todas formas, nada asegura que de realizarse el pago se haga entrega de la clave necesaria para revertir la encriptación de los archivos.

Como en todos los anteriores  casos de ransomware, la mejor estrategia es procurar no infectarse, dadas las consecuencias asociadas. Dado que el riesgo existente es alto, se recomienda mantener actualizados y verificados a diario los respaldos, disponer de software antimalware de reconocida calidad, que esté permanentemente actualizado e instalado en todos los puestos y servidores. A su vez, se debe tener precaución cuando se interactúa con sitios web en general, y con archivos adjuntos recibidos en los correos.