Converge Comunicações -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Mais um ataque de sequestro de dados coloca a Internet em alerta

Postado em: 25/10/2017, às 22:41 por Redação

Um novo ataque de ransonware colocou a internet em estado de alerta. Até o momento, o Bad Rabbit afeta países da Europa Oriental, como Rússia Ucrânia e Turquia. Embora não se espalhe tão amplamente quanto os ataques Petya/NotPetya, relatórios indicam que, quando o Bad Rabbit começou, causou graves interrupções em organizações, levando o CERT ucraniano (equipe de respostas de emergência em computadores) a emitir alerta.

Segundo relatório da Palo Alto Networks, o Bad Rabbit invade o ambiente de computação a partir de uma atualização do Adobe Flash. Uma vez dentro de uma rede, ele se espalha coletando credenciais com a ferramenta Mimikatz, além de usar credenciais codificadas.
O Bad Rabbit é semelhante ao Petya / NotPetya na medida em que criptografa todo o disco.

Como o vetor de ataque inicial é através de atualizações falsas, os ataques do Bad Rabbit podem ser evitados utilizando somente atualizações do Adobe Flash no site da Adobe.

O ataque não parece ter um alvo específico. Portanto, parece haver pouco trabalho de reconhecimento como parte desse ataque.

Exploitation.

De acordo com a ESET, o vetor de infecção inicial do Bad Rabbit é por meio de uma falsa atualização do Adobe Flash que é oferecida a partir de sites comprometidos.

O pesquisador da Proofpoint, Darien Huss, informou que esta falsa atualização foi hospedada no servidor 1dnscontrol[.]com. Os relatórios diferem sobre o método de entrega, se o ransomware é entregue através de engenharia social, convencendo o usuário a instalar a atualização falsa, ou se é entregue de forma silenciosa através de vulnerabilidades não corrigidas (ou seja, instalações "drive-by").

Uma vez dentro de uma rede, o Bad Rabbit se propaga para outros sistemas. Os relatórios indicam que o ransomware coleta credenciais usando Mimikatz (uma ferramenta de ataque que afeta a segurança do Windows) e o especialista em segurança Maarten van Dantzig relatou que também usa credenciais comuns codificadas para se espalhar.

Tags: , , , , , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top