Boletim de Segurança - Ransomware BadRabbit!
No dia 24 de outubro de 2017 foi identificado um ataque do tipo Ransomware em massa, denominado de Bad Rabbit. Este ataque foi dirigido aos grandes meios de comunicação na Rússia (Interfax e Fontanka.ru), mas também houve relatos de vítimas na Ucrânia, Turquia e Alemanha. Segundo a empresa de antivírus Kaspersky já existem quase 200 alvos. O ataque foi detectado ontem de manhã e durou até o meio dia, embora alguns ataques ainda permanecem em andamento.
A VULNERABILIDADE
Ainda de acordo com o que informou o Kaspersky Lab, não foram utilizadas exploits. O Ransomware foi distribuído através de ataques do tipo “Drive-by download”, usando um instalador falso do Adobe Flash, onde as vítimas instalariam manualmente o “malware dropper”, como se fosse um instalador do programa.
Pesquisadores da empresa ESET também detectaram o Bad Rabbit como 'Win32 / Diskcoder.D' – e uma nova variante de Petya ransomware, também conhecida como Petrwrap, NotPetya, exPetr e GoldenEye.
A ESET acredita que a nova onda de ataques do Ransomware não está usando o EternalBlue exploit - a vulnerabilidade no protocolo SMB V1 que foi usada pelo WannaCry e pelo Petya para se espalhar pelas redes.
Os criminosos por trás do ataque Bad Rabbit estão exigindo 0,05 bitcoin como resgate - isso é aproximadamente $ 280 à taxa de câmbio atual.
Como se prevenir?
Para evitar ser uma vítima do Bad Rabbit, algumas precauções e ações devem ser adotadas:
Bloqueie a execução de arquivos c: \ windows \ infpub.dat e c: \ Windows \ cscc.dat.
Avise os usuários para que não façam download de arquivos da Internet sem antes verificar sua autenticidade e validade.
Avise os usuários para terem cuidado ao clicar em anexos recebidos através de e-mails, principalmente aqueles de origem desconhecida ou duvidosa.
Se possível, desative o serviço WMI no seu ambiente para impedir que o malware se espalhe pela sua rede.
Mantenha o antivírus com a última atualização disponibilizada pelo fabricante.
Mantenha backups atualizados e armazenados em segurança.
Consulte o Cyber Threat System (http://www.cyberthreatsystem.com) caso precise verificar se algum domínio, URL, endereço de e-mail ou IP está comprometido.
“ Um trabalho contínuo de segurança da informação é muito importante para uma Organização. ”
FIREWALL
Bloqueie no Proxy ou no Firewall de borda o acesso para os seguintes endereços:
INDICADORES DE COMPROMETIMENTO (coi)
Fale Conosco
Infrabout Tecnologia da Informação Ltda
Rua da Conceição, 105 - Sl 1908 Centro - Rio de Janeiro 20051-011 Tel. +55 21 3173-4900 email: info@infrabout.com http://www.infrabout.com