La compañía de
ciberseguridad Kaspersky Lab ha confirmado que el 'ransomware' Bad Rabbit, que
este martes atacó a dispositivos en Rusia, Ucrania, Turquía, Alemania,
Kazajistán y China, no es un virus de tipo 'wiper'. Esto implica que los
archivos que encripta pueden ser recuperados a través de una clave privada, sin
volverse irrecuperables.
Como ha explicado la
firma rusa a través de un comunicado, este aspecto diferencia a Bad Rabbit de
ExPetr --también conocido como Petya o NotPetya--, a pesar de que ambos gusanos
fueron desarrollados por los mismos cibercriminales. El portal SecureList de
Kaspersky Lab ha detallado que Bad Rabbit tiene la capacidad de descifrar la
información necesaria para la recuperación del disco duro, algo que ExPetr no
permite.
Esto significa que
los archivos cifrados por Bad Rabbit pueden ser recuperados si se paga el
rescate exigido por sus responsables, mientras que la recuperación de archivos
es imposible con ExPetr. En este sentido, el análisis de Kaspersky Lab ha
certificado que los autores de Bad Rabbit podían usar su propia clave privada
para descifrar la información de identificación de infección y enviarla a la
víctima; en el caso de ExPetr, era imposible extraer esta información utilizada
para la clave de descifrado de datos.
Por otra parte,
Kaspersky Lab ha advertido que el código Bad Rabbit no contiene el tipo de
errores que podrían usarse para descifrar los archivos y datos de las víctimas,
por lo que no hay forma de desencriptar la información sin la clave privada del
atacante. Aún así, los expertos han encontrado un error en el código dispci.exe
del 'malware' que refleja que este no borra de la memoria la contraseña
generada, por lo que existe una pequeña posibilidad de extraerla antes de que
se ejecute este código.
Pese a estas
diferencias, Kaspersky Lab ha insistido en que Bad Rabbit y ExPetr comparten
creadores. Ambos 'malware' utilizan un algoritmo 'hash' similar, y los expertos
de Kaspersky Lab también han detectado que los dos ataques utilizan los mismos
dominios. ExPetr y Bad Rabbit también comparten su intención de hacerse con
credenciales de la memoria del sistema, así como de difundirse dentro de la red
corporativa por el servicio Instrumental de administración de Windows (WMIC).
Sin embargo, los investigadores no han encontrado el 'exploit' EternalBlue en
el ataque de Bad Rabbit que sí se utilizó en ExPetr.
Bad Rabbit alcanzó
casi 200 objetivos, localizados en Rusia, Ucrania, Turquía, Alemania,
Kazajistán y China. Todos los ataques tuvieron lugar el pasado martes y no se
han detectado nuevos ataques desde entonces, puesto que el servidor desde el
que se distribuyó ha estado inactivo desde la noche de ese día 24.
Fuente: Europa Press