Kaspersky Lab confirma relação entre Bad Rabbit e ExPetr

Os investigadores da empresa de cibersegurança descobriram que o ataque do ransomware Bad Rabbit, que aconteceu ontem e atingiu algumas organizações financeiras, tem ligações evidentes ao ataque ExPetr do passado mês de junho.

De acordo com a análise realizada pela Kaspersky Lab, o algoritmo de hashing utilizado no ataque de ontem é semelhante ao que foi utilizado pelo ExPetr, ambos utilizam os mesmos domínios e possuem semelhanças nos respetivos códigos fonte.

O Bad Rabbit tenta roubar credenciais da memória do sistema e difundi-las dentro da rede corporativa através do WMIC, tal como a ameaça de junho, mas não foram encontrados encontrados exploits do EternalBlue nem do EternalRomance presentes no ExPetr.

A Kaspersky confirma que o Bad Rabbit atingiu quase 200 alvos, na Rússia, Ucrânia, Turquia e Alemanha e que todos os ataques aconteceram apenas dia 24 de outubro.

Os investigadores referem que a partir do momento em que as empresas de segurança começaram a investigar a ameaça, os códigos maliciosos foram removidos dos sites comprometidos, na sua maioria de media e fontes de informação noticiosa. Esta ação, por parte dos cibercriminosos, poderá ter sido tomada para evitar serem identificados.

Os produtos da Kaspersky Lab detetaram com sucesso o ransomware, e têm-no feito de forma proactiva desde o início do ataque. Eis o vídeo que demonstra como funciona o Bad Rabbit e como este pode ser prevenido:

 

Os investigadores da Kaspersky Lab continuam a analisar e monitorizar ativamente o Bad Rabbit de forma a ajudar os afetados.