Bad Rabbit Nuevo Ransomware

Cuando muchas organizaciones y compañías a escala global aún se están recuperando del ataque masivo propiciado por WannaCry y NotPetya, ahora parece que un tercer ataque va en incremento. Su nombre es Bad Rabbit, o al menos así ha sido llamado por el sitio web vinculado a la nota de rescate.

Se trata de un nuevo ransomware que ha logrado colarse en varios medios de comunicación importantes de Rusia, como la agencia de noticias Interfax y Fontaka.ru, las cuales han confirmado ser víctimas de este malware.

El Aeropuerto Internacional de Odessa, Ucrania, ha confirmado un ataque informático en su sistema de información, a pesar de que no está claro si se trata de Bad Rabbit. Lo cierto, es que los hackers detrás de este ransomware han solicitado un pago de 0,05 bitcoins como rescate, lo que equivale aproximadamente a US$ 280 a la fecha.

De acuerdo con un informe de Kaspersky Lab, el Bad Rabbit no utiliza exploits. En este sentido, se trata de un ataque Drive-by-Download: las víctimas descargan un falso instalador de Adoble Flash de sitios web infectados y ejecutan manualmente el archivo .exe, propagando el malware.

Aunque Kaspersky ha dicho que no sabe aún si es posible recuperar los archivos cifrados por Bad Rabbit, bien sea pagando el rescate o a través de una falla en el código del ransomware, sus investigadores siguen estudiando el ataque con el objetivo de proporcionar más información a los usuarios.

A pesar de que la mayor cantidad de usuarios afectados están en Rusia, la compañía de seguridad reveló que el ransomware ya ha llegado a Ucrania, Turquía y Alemania. Bad Rabbit se propaga mediante varios sitios web rusos infectados, y se dirige principalmente a redes corporativas, utilizando métodos similares a los del ataque con NotPetya, sin embargo, Kaspersky dice que no han confirmado la relación entre ambos ransomware.

Para protegerse del ataque, en el caso de los usuarios de los productos de Kaspersky, deben asegurarse de ejecutar System Watcher y Kaspersky Security Network para estar protegidos.

Para usuarios de Windows, el primer paso es bloquear la ejecución de los archivos a través de c: \ windows \ infpub.dat, y c: \ Windows \ cscc.dat. Luego, deben deshabilitar el servicio WMI para evitar que el malware se propague. Para todos los usuarios, la recomendación es no pagar el rescate, ya que hacerlo no te garantiza que tus archivos te serán devueltos.