Organizações do setor de infraestrutura de países do leste europeu, principalmente da Ucrânia e Rússia, foram alvo de ataques cibernéticos no início dessa semana atribuídos a ação de um novo e poderoso ransomware.
De acordo com a FireEye, empresa de segurança que conseguiu mapear o início da epidemia, trata-se de uma campanha estratégica e generalizada, que ficou conhecida como Bad Rabbit.
“Os dispositivos de rede da FireEye bloquearam as tentativas de infecção em várias vítimas, globalmente, até o momento em que os sites monitorados contendo o código malicioso foram desconectados”, explica Nick Carr, Gerente Sênior de Detecção e Análise da FireEye. O novo vírus se disfarça como uma atualização falsa do Flash a partir do comprometimento de sites específicos.
Carr explica que “um invasor hospeda código malicioso no site da vítima sem conhecimento, o que é usado para infectar os verdadeiros alvos. Os sites são cuidadosamente selecionados, de modo que eles alcancem os objetivos e apresentem danos colaterais mínimos”. No caso do Bad Rabbit, boa parte dos vetores de infecção eram sites de viagens e mídia da Europa. Uma vez contaminada uma máquina, o ransomware também tenta se espalhar através da rede compartilhada.
Segundo a empresa de segurança, essa operação de comprometimento de sites é o verdadeiro núcleo do ataque. Os responsáveis pelo Bad Rabbit tem toda uma infraestrutura montada que reúne informações daqueles que visualizam as páginas comprometidas, como host e endereço IP, navegador, site de referência e cookie do site de referência. Isso permite aos invasores obter mais dados sobre as potenciais vítimas antes de implantar as cargas virais.