Várias empresas de transporte na Ucrânia e na Rússia, assim como algumas organizações governamentais, sofreram um ciberataque pelo ransomware Bad Rabbit. Empresas do setor de comunicação e de outras áreas do Brasil também já alertaram para a presença do malware.
O Bad Rabbit é o nome usado para descrever o malware Win32/Diskcoder.D. O sistema de telemetria da empresa de segurança virtual ESET realizou centenas de detecções do Win32/Diskcoder.D, em sua maioria na Rússia e Ucrânia. Existem, ainda, relatos de PCs afetados na Turquia e Bulgária, além de outros países – fala-se que o vírus chegou até ao Brasil, ainda que não existam confirmações concretas de instituições do ramo.
Segundo as descobertas preliminares, a ameaça usa a ferramenta Mimikatz para extrair credenciais dos sistemas infectados. Além disso, ela possui uma lista hardcodeada de credenciais.
Como de costume, os criminosos por trás do ransomware Bad Rabbit exigem pagamento para resgate dos dados. Solicita-se a transferência de 0,05 bitcoin – cerca de US$ 280 – para dar fim ao “sequestro virtual”. Não é recomendado fazer o pagamento, pois não existem garantias de que os hackers irão liberar os dados em seguida.
Ligação com o Adobe Flash
Segundo constatações iniciais, o ransomware Bad Rabbit tem ligação com o aplicativo Adobe Flash Player – não com o original, mas com uma versão mal-intencionada que é oferecida ao acessar alguns sites.
Muitos usuários relataram que, ao entrar em algum site que pediu a atualização (falsa) do Flash, houve o download do executável “install_flash_player.exe”. O arquivo é o próprio ransomware, que bloqueia os dados no computador.
Caso o internauta entre em um site que peça a atualização do Flash para conferir algum conteúdo, não se deve fazer via pop-ups do próprio site. É necessário entrar no site da Adobe, desenvolvedora do aplicativo, e conferir se a versão em seu computador é a atualizada.
* Com informações da ESET.