El número de casos que atendemos en Hals Intelligence se ha triplicado en las últimas tres semanadas debido a las infecciones por virus de tipo ransomware. El 80% de los casos que atendemos son de la ciudad de Mérida y el resto del interior del estado.
De los casos únicamente el 60% de ellos logra recuperar sus datos, por lo que es importante hacer conciencia a las empresas yucatecas, de la relevancia de contar con un programa informático de atención a desastres (seguridad a la información).
La mayoría de los casos recibidos son ataque a empresas medianas y se da a los servidores de sistemas de punto ventas, respaldos y bases de datos, al ser infectadas la mayoría de ellas quedan inoperables debido a la frágil infraestructura de seguridad existentes.
LO NUEVO
Este año hemos sido testigos de dos ataques ransomware a gran escala, después de los peligrosos WannaCry y Petya, en esta oportunidad un tercer ataque está provocando pesadillas en algunos países, como Rusia, Ucrania y Alemania, el nuevo malware se llama Bad Rabbit, al menos, ese es el nombre indicado por el sitio web darknet vinculado en la nota de rescate.
Una vez que Bad Rabbit ha infectado el equipo, reinicia el sistema del usuario, que queda atascado en la nota de rescate. La nota de rescate es casi idéntica a la utilizada por NotPetya, en el brote de junio.
En la nota de rescate, el ransomware pide a las víctimas acceder a un sitio en la red Thor y hacer un pago de 0,05 Bitcoin (alrededor de $ 280). Las víctimas tienen poco más de 40 horas para pagar la cuota de rescate hasta que expire.
La velocidad con la que se extiende Bad Rabbit es similar a los brotes WannaCry y NotPetya que han afectado en mayo y junio del 2017. La firma de ciberseguridad ESET también identificó casos de Bad Rabbit en Japón y Bulgaria. Avast confirma que el ransomware se ha detectado en los EE. UU. Según sus datos Kapersky también confirma ataques similares, pero en menor grado en Ucrania, Turquía y Alemania.
MÉTODO DE INFECCIÓN DETECTADO
Es un ataque drive-by: varios grupos de ciberseguridad, incluyendo a los de Karspersky Labs, ESET y Proofpoint, han declarado que las víctimas descargan un instalador falso de Adobe Flash de sitios web infectados y lanzan manualmente el archivo .exe, infectándose así mismos.
ARCHIVOS QUE CIFRA EL RANSOMWARE BAD RABBIT
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip.
