Una nueva campaña de
'ransomware', protagonizada por un gusano identificado como Bad Rabbit, ha
afectado desde este martes a dispositivos de países como Rusia, Ucrania,
Turquía o Alemania a través de páginas web infectadas de medios de comunicación
rusos. Se trata del tercer gran ciberataque protagonizado por este tipo de
'malware' en 2017, tras WannaCry y ExPetr.
La primera actividad
infecciosa de Bad Rabbit fue detectada este martes por la agencia de noticias
rusa Interfax, que vio cómo su página web dejaba de estar operativa. Otros
medios de comunicación del país, como el periódico digital Fontanka, también se
han visto afectados por la acción de este 'ransomware'.
La compañía de
ciberseguridad Kaspersky Lab ha informado a través de un comunicado que la
mayoría de las víctimas de este ataque se ubican en Rusia, aunque se han
detectado casos "similares, pero en menor cantidad", en países como
Turquía, Alemania o Ucrania. De hecho, el Aeropuerto Internacional de Odesa
(Ucrania) ha alertado de un ataque informático contra su sistema de
información, aunque la firma rusa no ha podido comprobar si está relacionado
con este 'malware'.
Como ha sucedido con
otros ciberataques de igual naturaleza, el 'ransomware' Bad Rabbit encripta
determinados ficheros de la víctima y exige el pago de una cantidad económica
por su recuperación. En este caso, este gusano solicita el abono de 0,05
Bitcoins, cifra que equivale a unos 234 euros, aproximadamente.
Según ha podido saber
Kaspersky Lab, este ataque no se basa en 'exploits', sino que afecta a sus
víctimas a través de un falso instalador del 'plugin' Adobe Flash, que es
descargado desde sitios web infectados y activado manualmente al ejecutar por
error el archivo ejecutable .exe.
Los investigadores de
la compañía de ciberseguridad han detectado que Bad Rabbit ha infectado
dispositivos desde varias páginas web 'hackeadas', todas ellas correspondientes
a medios de comunicación rusos, por lo que entienden que es un "ataque
dirigido" contra estas compañías que usa un método similar al también
'ransomware' ExPetr --conocido también como Petya o NotPetya--, aunque no es
posible precisar si ambos virus están relacionados.
Por el momento, se
desconoce si es posible recuperar los archivos encriptados mediante el pago del
rescate exigido o aprovechándose de algún 'glitch' en el código del
'ransomware'.
Kaspersky Lab ha
recomendado a los usuarios de sus productos antivirus que activen los servicios
System Watcher y Kaspersky Security Network. Por su parte, la empresa rusa ha
recomendado al resto de usuarios que bloqueen la ejecución de los archivos
c:\windows\infpub.dat y c:\Windows\cscc.dat; deshabiliten el servicio
Instrumental de administración de Windows (WMI); hagan una copia de seguridad
de sus datos, y no paguen el rescate exigido por los ciberatacantes.
Fuente: Europa Press