Bad Rabbit: el último gran 'malware' que se disfraza de Flash para secuestrar tu ordenador

Primero fue WannaCry y luego Petya/NotPetya. Ahora le toca el turno a Bad Rabbit, el tercer gran ransomware en lo que va de año que hace tambalear las infraestructuras de seguridad de medio mundo, aunque de momento ha empezado por más de 200 organizaciones de Rusia, Ucrania, Turquía y Alemania. Sorpresa: afecta a equipos Windows.

El 'Conejo Malo' cifra todos los archivos del disco duro y después pide un rescate por ellos. Recuperarlos cuesta 0,05 bitcoin (lo que al cambio son 252 euros) que tienen que pagarse a través de una página en la Deep web (el Internet no visible) que el miércoles por la noche ya no estaba disponible.

“Infectaron una web y a todos los usuarios que pasaban por esa página les salía un pop-up con el típico mensajito de 'tu Adobe Flash Player está desactualizado ¿Quieres actualizar?' Al darle a sí, se instalaba el codigo dañino”, explican fuentes del Centro Criptológico Nacional (CCN) a eldiario.es.

“Menos agresivo” que WannaCry y Petya/Notpetya

A partir de ahí, Bad Rabbit bloquea el disco duro con una clave RSA de 2048 bytes (un sistema de cifrado donde el usuario posee dos claves, una pública conocida por todos y otra privada, que solo conoce él, para comunicarse) que solo será descifrada si pagamos el rescate. Algo no del todo recomendable.

El malware, que guarda muchas similitudes con WannaCry y Petya/Notpetya, utiliza partes del código de estos para expandirse a través de las redes infectadas aunque, a diferencia de ellos, no usa ETERNALBLUE ni ningún otro de los scripts robados a la NSA en agosto del 2016.

Bad Rabbit cuenta con “un diccionario con nombres de usuario y contraseñas que prueba por defecto en los equipos de la red. Lo típico: admin/admin, admin/root... Va haciendo pruebas en todos para iniciar sesión, copiarse e ir cifrando uno a uno los dispositivos”, continúa el CCN. También puede hacer uso del protocolo SMB (Server Message Block, un protocolo de Windows que comunica a todos los dispositivos en red: impresoras, ordenadores, routers, etcétera) que en su día ya usaron sus hermanos.

Además, de eso, el malware también es capaz de acceder a las contraseñas que tenga el ordenador grabadas en la memoria y utilizarlas en su propio beneficio: “En este sentido es menos agresivo que los otros”, prosiguen desde el CCN.

Mientras que WannaCry sí estaba diseñado para sacar cuanto más dinero, mejor; Petya/Notpetya se disfrazaba de eso para luego wipear (o eliminar) por completo los archivos del disco duro: era un destructor en potencia. Bad Rabbit, aunque dañino, no es extremadamente perjudicial.

Aún sigue activo. La firma de ciberseguridad rusa Kaspersky cree, además, que son los mismos que perpetraron el ataque con Petya/NotPetya este verano y, aunque prevén nuevas infecciones en las próximas horas, esperan que el número de equipos infectados disminuya.

El CCN considera un factor clave que “a las pocas horas de empezar las noticias sobre Bad Rabbit, rápidamente se tiraran abajo los servidores de la web donde estaba alojado”. No obstante, el malware ha afectado a estaciones de transporte, bancos y grandes empresas de contabilidad ucranianas y el Este de Europa.

Raeghal y Viserion secuestran tu ordenador

Utiliza el mismo mensaje que en su día ya usaron WannaCry y NotPetya, el “Ooops! your files have been encrypted” (¡Oops! Tus archivos han sido cifrados) y le da al usuario un tiempo determinado para hacer el pago. Como curiosidad, el malware utiliza en dos de sus librerías, los nombres de Raeghal y Viserion, los dragones de Daenerys en Juego de Tronos. También dedica otra a Drogol, el nombre de esclavo de Gusano Gris.

Desde el CCN consideran que los ataques por ransomware “van al alza de forma exponencial”, y explican que en nuestro país aún no tienen constancia de ningún caso de infección. “Hemos desplegado reglas de detección y no hemos visto nada por el momento”, dicen.

Recomiendan a los usuarios “tener los sistemas parcheados y hacer copias de seguridad”. A las empresas les aconsejan que “intenten evitar que los usuarios tengan los privilegios de la máquina. Es algo muy cómodo porque así nadie te molesta pidiéndote que instales aplicaciones pero tiene riesgos de seguridad muy importantes”.

Por su parte, los expertos en ciberseguridad de Cybereason han descubierto una vacuna preventiva que protege al equipo de una eventual infección con Bad Rabbit. Hay que crear dos archivos usando la consola de Windows, aquí viene perfectamente explicado.