Conocido desde octubre
la presencia de esta amenaza, su actividad se ha visto incrementada, sobre todo
por la llegada del periodo navideño. Expertos en seguridad han descubierto un
aspecto cuanto menos curioso de esta amenaza: BadRabbit es capaz de eludir la
protección ofrecida por las herramientas de seguridad de la compañía rusa Dr.
Web.
En este caso, cuando
hablamos de eludir o evitar, el resultado no es satisfactorio para la amenaza.
Expertos en seguridad
han aplicado ingeniería inversa a uno de los ejecutables de esta amenaza.
Durante el análisis, descubrieron que si el equipo ejecuta alguno de los 4
procesos relacionados con las herramientas de seguridad de la firma rusa, su
flujo se detiene. O lo que es lo mismo, no intenta hacer nada, ni cifrar la
información ubicada en el equipo ni extenderse a otros equipos de red. Además
de la empresa de seguridad FireEye, ha quedado también confirmado por Cylance.
El motivo para que
esto sea así es una incógnita. No se sabe a ciencia cierta el motivo que les ha
llevado a los propietarios de esta amenaza a llevar a cabo esta programación.
Desde Dr. Web también
han querido salir al paso de este comportamiento. Indican que es cierto que en
el momento de detectar uno de los productos en el sistema el funcionamiento
“normal” de la amenaza se detiene. Indican que los propietarios de BadRabbit
“tienen miedo” de los productos de la firma. La realidad es que, desde Dr. Web,
han conseguido poner fin a varios ataques malware.
BadRabbit es muy peligroso
Para todos aquellos
que no sepan de qué estamos hablando, la amenaza, una vez alcanza el equipo, lo
primero que busca es el cifrado del MBR del disco. Es decir, el arranque del
equipo sería imposible.
Desde Dr. Web indican
que, cuando el equipo Windows está aún arrancando los procesos del sistema, se
ha detectado que en algunas ocasiones el cifrado ha comenzado en esa etapa
temprana. O lo que es lo mismo, cuando los procesos de la herramienta de
seguridad de la firma rusa aún no han comenzado.
No es la única familia de productos de
seguridad que evita
Expertos en seguridad
indican que también se produce un comportamiento anómalo en equipos con sistema
operativo Windows y la presencia de soluciones de seguridad de McAfee.
Al igual que en el
caso anterior, tras el reinicio del equipo busca llevar a cabo el cifrado de la
información del disco, o al menos de parte. Lo que sí aplaza es su expansión a
otros equipos de la red.
La mayor parte de los
equipos que están afectados por BadRabbit se localizan en Europa del Este,
Estados Unidos y algunas zonas del norte de Europa. Por el momento, nuestro
país queda excluida de la zona de difusión de esta amenaza. Sin embargo, aún es
pronto para saber qué sucederá a corto plaza.
Hay que recordar que
la amenaza apareció por primera vez en el mes de octubre. De acuerdo con el
análisis realizado por los expertos en seguridad, indican que el recorrido de
este ransomware es mucho mayor.
Fuente: PCMag