As fabricantes de antivírus Kaspersky e ESET informaram nesta quinta-feira (26) que os hackers por trás do ransomware BadRabbit são posivelmente os mesmos responsáveis pelo ataque Not-Petya, que atingiu milhares de empresas em junho. Segundo os especialistas, a nova ameaça contém parte do código usado para burlar as defesas do Windows e infectar computadores no caso Not-Petya. Apesar da semelhança na sua construção, porém, a ofensiva BadRabbit envolve criptografia sofisticada e não explora a falha EternalBlue, do sistema operacional da Microsoft, para se alastrar.

• BadRabbit, um novo ransomware

Kaspersky e ESET identificaram que o BadRabbit — novo ransomware usado para bloquear arquivos de PCs Windows — reutiliza também alguns dos mesmos domínios usados pelo Not-Petya para se comunicar com os servidores dos criminosos. Os endereços existem desde junho, mas não haviam sido ativados. A relação leva a crer que o novo ataque estava sendo planejado há meses.

“Nossos especialistas acreditam que o mesmo ator da ameaça está atrás de ambos os ataques e que esse ator ameaçador estava preparando o ataque Bad Rabbit desde julho, ou mesmo antes”, diz o relatório atualizado da Kaspersky.

O ataque Not-Petya, chamado também de Petya ou ExPetr, surgiu em junho de 2017 e atingiu redes corporativas de empresas ligadas aos setores de energia, telecomunicações e finanças na Ucrânia, Rússia e outros países, incluindo o Brasil.

Inicialmente, o malware foi considerado um ransomware, mas depois foi revelado ser um wiper. Em vez de codificar os arquivos e liberar depois do resgate, mediante pagamento em bitcoins, o vírus somente causava danos ao computador da vítima, sem possibilidade de recuperação de dados.

O Not-Petya usava a falha EternalBlue do SMBv1 do Windows e se espalhava na rede como um worm – por isso, ficou conhecido como um ransomworm.

Especialistas ainda não descobriram o método de infecção usado pelo BadRabbit. Por enquanto, sabe-se que o BadRabbit utiliza diretórios compartilhados do SMB do Windows em busca de espaço para se alastrar na rede. Há também indícios de que a ameaça tenha sido implantada muito antes nas redes infectadas hoje.

“É interessante notar que todas essas grandes empresas [infectadas pelo BadRabbit] foram atingidas ao mesmo tempo. É possível que o grupo [hacker] já tivesse o pé dentro das redes e tenha lançado o ataque ao mesmo tempo”, informa a ESET, fabricante do antivírus NOD32.

O novo ransom não explora a falha corrigida pela Microsoft EternalBlue, como ocorreu com o Not-Petya. Em vez disso, lança mão da ferramenta de quebra de senhas Mimikatz para obter uma lista de credenciais que serve para abrir mais portas nos computadores comprometidos em rede.

Os especialistas também começam a questionar se o BadRabbit é, de fato, um ransomware. O vírus usa um encriptador de arquivos melhorado em comparação com o Not-Petya, deixando menos brechas para recuperação forçada de arquivos cifrados. Em contrapartida, ainda não há indicações de que o ransomware seja um wiper disfarçado — ou seja, é provável que seja possível restaurar o HD de uma máquina infectada após o resgate, mesmo que não seja recomendado pagar.

O BadRabbit está em ascensão e mostrou registros no Brasil na quarta-feira (25). O ransomware infecta computadores por meio de um ataque drive-by, que oferece um download falso do Adobe Flash Player em uma página web comprometida.

Após a transferência do pacote, o ransom entra em ação e encripta os arquivos do HD. Em seguida, emite uma alerta pedindo resgate na forma de 0,05 bitcoins, equivalentes a US$ 280 na cotação atual. O aviso informa as instruções de pagamento e mostra um contador para pressionar a vítima a atender à exigência.