Una falsa actualización de Adobe que podría convertirse en el nuevo ransomware

 

Se llama BadRabbit y los expertos detectan muchas similitudes con NotPetya, la epidemia que atacó a centenares de organizaciones el pasado mes de junio, que fue más peligroso y sofisticado que el ya popular WannaCry, aunque usa su misma vulnerabilidad.

A finales de octubre, el medio de comunicación ruso Interfax dijo que sus servidores quedaron inoperativos por un ciberataque. Pasadas las primeras horas, después de que los periodistas tuviesen que publicar las noticias en la red social Facebook, la firma de seguridad informática rusa Group-IB compartió una captura de pantalla de un nuevo ransomware en acción llamado BadRabbit y confirmó que existían, al menos otros tres medios de comunicación que también eran víctimas de este ataque.

 

BadRabbit tiene como objetivo pedir un rescate económico a cambio de recuperar la información secuestrada por el código informático. Se basa en la misma estrategia de otros conocidos ciberataques a gran escala como WannaCry y NotPetya.

 

 

BadRabbit también cifra los ficheros y pide un rescate a efectuar en la cartera de Bitcoin, supuestamente controlada por los ciberdelincuentes, pero además este nuevo ciberataque, a diferencia de NotPetya, este sí que permite rescatar los ficheros y a cada víctima se le ofrece una cartera de Bitcoin diferente, por lo que es más difícil de rastrear.

El número de infecciones por BadRabbit es menor al causado por WannaCry o NotPetya pero, por otro lado, sus víctimas son objetivos de primer nivel: aeropuertos, instituciones estatales o estaciones de metro ucranianas y medios de comunicación rusos», etc.

 

El ransomware se extendió mediante simples descargas web en lugar de un ataque propagado masivamente en busca de usuarios vulnerables y se coló en los ordenadores, enmascarado como una actualización rutinaria de Adobe Flash Player, a través de las webs de prensa rusas.

Una vez instalado en el ordenador del usuario, el ransomware busca propagarse a través del protocolo de red de Windows (SMB) utilizando, también, una herramienta capaz de cambiar los privilegios del ordenador de la víctima dentro de la red local y otra para sacar las contraseñas de los otros equipos en texto plano.