[Alerta] – Nueva Ransomware BadRabbit
Trend Micro conoce y está investigando el reciente brote de ransomware BadRabbit en Europa del Este que ya se detecta como RANSOM_BADRABBIT.A. Los primeros análisis indican que este ataque usa técnicas de propagación similares a la familia de Ransomware Petya, y los usuarios de los productos Trend Micro con XGen Security detectan este ransomware como
TROJ.Win32.TRX.XXPE002FF019. Recientemente el CERT (CERT-UA) en Ucrania ha hecho una advertencia de posibles ataques de Ransomware.
BadRabbit se propaga a través de actualizaciones falsas de Flash, incorporando el uso de Mimikatz para extraer credenciales (una herramienta de código abierto que se ha usado en ataques anteriores), y aparentemente intenta usar una lista de credenciales codificadas comunes como Administrador, Invitado, Usuario, Root, etc. También hay evidencia de que utiliza una herramienta legítima, DiskCryptor, para el cifrado de los sistemas de la víctima.
Trend Micro ya brinda la protección y detección necesaria para este tipo de vulnerabilidad mediante varias capas de protección.
- Asegúrese de que se apliquen todos los parches mas recientes (si es posible usando la solución de Parcheo Virtual) a los sistemas operativos afectados, especialmente los relacionados con MS17-010 y cualquier boletín de seguridad reciente.
- Habilite su firewall, así como los sistemas de prevención y detección de intrusiones.
- Monitoree y valide de forma proactiva el tráfico entrante y saliente de la red.
- Implemente mecanismos de seguridad para sus sitios web y servidores de correo.
- Implemente control de aplicaciones para evitar la ejecución de archivos sospechosos para identificar modificaciones no deseadas en el sistema.
- Segmente la red y haga una categorización de datos para mitigar la exposición y daño de los datos.
- Deshabilite SMB (v1) en máquinas vulnerables, utilizando GPO o siguiendo las instrucciones proporcionadas por Microsoft.
- Le sugerimos utilizar tecnología de Parcheo Virtual:
- Deep Security:
- Rules 1008224, 1008225, 1008228, 1008285, y 1008306 – MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities.
- Rules 1003222, 1006906, 1008327, 1008328, 1008422, and 1008423 may help to prevent potential lateral movement of the ransomware using PsExec.
- Deep Security:
- Detección y protección en la Red:
- Deep Discovery Inspector:
- DDI Rule 2383: CVE-2017-0144- Remote Code Execution- SMB (Request)
- DDI Rule 2441- PsExec PETYA- Ransomware- SMB
- DDI Rules 35 and 1307 help monitor potential lateral movement of PsExec
- Tipping Point:
- 27931 y 27928: SMB: coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities and attacks.
- Digital Vaccine (DV) Filter 28471 – May be configured to enforce generic policy at the network perimeter by blocking SMB v1 traffic (this is disabled by default).
- Deep Discovery Inspector:
- Trend Micro Technical Knowledgebase Article: Preventing BadRabbit ransomware attack
- TrendLabs Security Intelligence Blog: Bad Rabbit Ransomware Spreads via Network, Hits Ukraine and Russia.
- Multiple Ransomware Infections Reported
