El 'ransomware' Bad Rabbit es obra de los mismos cibercriminales que ExPetr

Ransomware Bad Rabbit
KASPERSKY LAB
Actualizado: jueves, 26 octubre 2017 11:24

   MADRID, 26 Oct. (Portaltic/EP) -

   El 'ransomware' Bad Rabbit, que el pasado martes afectó a dispositivos de países como Rusia, Ucrania, Turquía o Alemania, ha sido desarrollado por los mismos autores del ciberataque protagonizado por ExPetr, otro 'malware' de la misma naturaleza también conocido como Petya o NotPetya, como ha informado la compañía de ciberseguridad Kaspersky Lab.

   En una investigación publicada en su portal SecureList, la compañía rusa ha establecido una conexión entre Bad Rabbit y la versión del virus ExPetr que se difundió en un ciberataque producido el pasado mes de junio. Según su análisis, el algoritmo 'hash' utilizado por este reciente 'ransomware' es similar al empleado por ExPetr.

   Además, los expertos de Kaspersky Lab han detectado que ambos ataques utilizan los mismos dominios, altiempo que las similitudes en los códigos fuente indican que el nuevo ataque está ligado a los creadores del 'ransomware' ExPetr. Entre el código de Bad Rabbit se han encontrado referencias a personajes de la serie televisiva Juego de Tronos, como Gusano Gris y los dragones Drogon, Viserion y Rhaegal.

   Al igual que ExPetr, Bad Rabbit intenta hacerse con credenciales de la memoria del sistema y difundirse dentro de la red corporativa por el servicio Instrumental de administración de Windows (WMIC). Sin embargo, los analistas no han encontrado los 'exploits' EternalBlue o EternalRomance en el ataque del Bad Rabbit, ambos utilizados en ExPetr.

   Los ciberatacantes responsables del ataque reciente se han estado preparando al menos desde el pasado mes de julio, según la investigación, creando su red de infección en sitios 'hackeados', principalmente medios de comunicación y agencias de noticias como las rusas Interfax y Fontanka. El ciberataque se difundía a través de un falso instalador del 'plugin' de Adobe Flash, y encriptaba ficheros del equipo de la víctima, pidiendo a continuación un rescate de 0,05 Bitcoins, el equivalente a 234 euros.

   Bad Rabbit ha afectado casi a 200 objetivos, ubicados en Rusia, Ucrania, Turquía y Alemania. Todos los ataques tuvieron lugar el pasado martes 24 de octubre, y no se han detectado nuevos ataques desde entonces. Una vez que la infección se hizo más generalizada, los ciberdelincuentes eliminaron el código malicioso que habían agregado a los sitios web 'hackeados', según Kaspersky.

Leer más acerca de: