Una falsa actualització d'Adobe que es podria convertir en el nou ransomware

Es diu BadRabbit i els experts detecten moltes similituds amb NotPetya, l'epidèmia que va atacar centenars d'organitzacions el mes de juny passat, que va ser més perillós i sofisticat que el ja popular WannaCry, encara que fa servir la seva mateixa vulnerabilitat.

A finals d'octubre, el mitjà de comunicació rus Interfax va dir que els seus servidors van quedar inoperatius per un ciberatac. Passades les primeres hores, després que els periodistes haguessin de publicar les notícies a la xarxa social Facebook, la signatura de seguretat informàtica russa Group-IB va compartir una captura de pantalla d'un nou ransomware en acció anomenat BadRabbit i va confirmar que existien, almenys tres mitjans de comunicació més que també eren víctimes d'aquest atac.

BadRabbit té com a objectiu demanar un rescat econòmic a canvi de recuperar la informació segrestada pel codi informàtic. Es basa en la mateixa estratègia d'altres coneguts ciberatacs a gran escala com ara WannaCry i NotPetya.

BadRabbit també xifra els fitxers i demana un rescat a efectuar a la cartera de Bitcoin, suposadament controlada pels ciberdelinqüents, però a més aquest nou ciberatac, a diferència de NotPetya, aquest sí que permet rescatar els fitxers ia cada víctima se li ofereix una cartera de Bitcoin diferent, per la qual cosa és més difícil de rastrejar.

El nombre d'infeccions per BadRabbit és menor al causat per WannaCry o NotPetya però, per altra banda, les víctimes són objectius de primer nivell: aeroports, institucions estatals o estacions de metro ucraïneses i mitjans de comunicació russos», etc.

El ransomware es va estendre mitjançant simples descàrregues web en lloc d'un atac propagat massivament a la recerca d'usuaris vulnerables i es va colar als ordinadors, emmascarat com una actualització rutinària d'Adobe Flash Player, a través de les webs de premsa russes.

Un cop instal·lat a l'ordinador de l'usuari, el ransomware cerca propagar-se a través del protocol de xarxa de Windows (SMB) utilitzant, també, una eina capaç de canviar els privilegis de l'ordinador de la víctima dins de la xarxa local i una altra per treure les contrasenyes dels altres equips en text pla.