malware

Um novo surto de ransomware atingiu hoje algumas das grandes infra-estruturas na Ucrânia, incluindo o metro de Kiev. Nas próximas linhas revelamos alguns detalhes acerca desta nova variante.

Infeção através de sites comprometidos

Um dos métodos de distribuição de Bad Rabbit é através de sites infectados. Algumas páginas populares estão comprometidas e têm código Javascript inserido no próprio código da página, tanto nos ficheiros HTML, como nos .js.

 

Este script envia alguns dados para o servidor ip 185.149.120 [.] 3, que parece não estar a responder neste momento. De entre os dados enviados, encontram-se:

  • Agente do navegador
  • Site de referência
  • Cookie do site visitado
  • Nome de domínio do site visitado

Com todas estas informações é possível determinar-se do lado do servidor se o visitante tem interesse, ou não, e posteriormente adicionar-se conteúdos à página. Os exemplos que fomos encontrando mostram um popup que solicita o download de uma atualização para o Flash Player. Esta informação é mostrada no meio da página.

Quando o utilizador dá um clique no botão Install, é descarregado um ficheiro a partir do site 1dnscontrol[.]com. O ficheiro executável, install_flash_player.exe é o dropper para o Win32/Filecoder.D.

Finalmente o computador é bloqueado e é mostrada a nota de resgate:

Eis a página de pagamento:

Infeção através de SMB

O Win32 / Diskcoder.D tem a capacidade de se espalhar por SMB. Ao contrário de algumas informações, não utiliza a vulnerabilidade EthernalBlue, como o surto Win32 / Diskcoder.C (Not-Petya). A primeira coisa que faz é examinar a rede interna à procura de partilhas abertas de SMB. Mais especificamente, procura as seguintes partilhas:

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spoolss
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

Entretanto o Mimikatz é lançado no computador comprometido para recolher todas as credenciais. Vem também integrada uma lista de nomes de utilizador e palavras passe:

Usernames Passwords
Administrator Administrator
Admin administrator
Guest Guest
User guest
User1 User
user-1 user
Test Admin
root adminTest
buh test
boss root
ftp 123
rdp 1234
rdpuser 12345
rdpadmin 123456
manager 1234567
support 12345678
work 123456789
other user 1234567890
operator Administrator123
backup administrator123
asus Guest123
ftpuser guest123
ftpadmin User123
nas user123
nasuser Admin123
nasadmin admin123Test123
superuser test123
netguest password
alex 111111
55555
77777
777
qwe
qwe123
qwe321
qwer
qwert
qwerty
qwerty123
zxc
zxc123
zxc321
zxcv
uiop
123321
321
love
secret
sex
god

Quando as credenciais que funcionam são encontradas, o ficheiro infpub.dat é colocado na pasta do Windows e executado através do SCManager e do rundll.exe.

Encriptação

O Win32/Diskcoder.D é uma versão modificada do Win32/Diskcoder.C, sendo que os bugs na encritpação de ficheiros foram resolvidos. A encriptação utiliza o agora o DiskCryptor que consiste numa ferramenta legítima e open source para encriptar completamente os discos rígidos. As chaves são geradas através do CryptGenRandom e posteriormente protegidas por chaves públicas RSA 2048 hardcoded.

Os ficheiros encriptados passam a contar com a extensão .encrypted e à semelhança do que acontecia anteriormente é utilizado o standard AES-128-CBC.

Distribuição

Curiosamente, os sistemas de telemetria ESET revelam que a Ucrânia apenas representa 12,2% das infecções por dropper.

Rússia: 65%
Ucrânia: 12,2%
Bulgária: 10,2%
Turquia: 6,4%
Japão: 3,8%
Outros: 2,4%

Mais informações deverão ser conhecidas em breve.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*