Presidncia da Repblica

Gabinete de Segurana Institucional

Departamento de Segurana da Informao e Comunicaes
Centro de Tratamento de Incidentes de Redes do Governo

Alerta n 07/2017 Ataques de Ransomware Bad Rabbit

1. Descrio do Problema

Recebemos relatrios de infeces de ransomware, conhecidos como Bad Rabbit, em

alguns pases. Aparentando ser variante de Petya, Bad Rabbit um software malicioso
ransomware que infecta um computador e restringe o acesso do usurio mquina infectada at
que um resgate seja pago para desbloque-lo.

Sempre desencorajamos o pagamento do resgate, pois no garante a restaurao do acesso.

O uso de software sem as atualizaes de segurana e sem suporte aumenta o risco de
proliferao de ameaas, como ataques de ransomware segurana da informao.

O CTIR Gov RECOMENDA a reviso de seus alertas n 02/2016 Ataques de

Ransomware atravs de campanhas de Phishing, n 02/2017 Ataques de Ransomware
Wanna Decryptor, e n 04/2017 Ataques de Ransomware Petrwrap/Petya, disponveis em
www.ctir.gov.br, e que descrevem os recentes eventos de ransomware.

Notifique os incidentes do Ransomware no endereo ctir@ctir.gov.br. O CTIR Gov

fornecer informaes atualizadas medida que elas se tornem disponveis.

1.1 O que um Ransomware?

Pode ser entendido como um cdigo malicioso que infecta dispositivos computacionais com o
objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informaes de um sistema, geralmente
atravs da utilizao de algoritimos de encriptao (crypto-ransoware), para fins de extorso.
Para obteno da chave de decriptao, geralmente exigido o pagamento (ransom) atravs de
mtodos online, tipo Bitcoins.

2. Mtodos de Ataques
Com base em anlises realizadas, o Bad Rabbit se espalha para outros computadores na
rede, tirando cpias de si mesmo na rede usando seu nome original e executando as cpias
descartadas usando o Windows Management Instrumentation (WMI) e o Service Control
Manager Remote Protocol. Quando o protocolo remoto do Service Control Manager usado, ele
usa ataques de fora bruta para levantamento das credenciais.
Entre as ferramentas Bad Rabbit incorporadas, se encontra o utilitrio de cdigo aberto
Mimikatz, para a extrao de credenciais. Tambm existem evidncias dele usando o
DiskCryptor, uma ferramenta legtima de criptografia de disco, para criptografar os sistemas de
destino.
importante notar que Bad Rabbit no explora quaisquer vulnerabilidades, ao contrrio de
Petya que usou o EternalBlue como parte de sua rotina.
3. Sugestes para Mitigao do Problema

Mesmo no sendo comprovado o uso de vulnerabilidades, at o momento, mantenha seus

sistemas atualizados para a verso mais recente ou aplique os patch conforme orientao
do fabricante.
Isolar a mquina da rede, ao primeiro sinal de infeco por malware;
Verificar o trfego de mquinas internas para domnios no usuais ou suspeitos;
Monitorar as conexes internas e no usuais entre mquinas da rede, a fim de evitar o
movimento lateral de propagao do malware;
Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de
Arquivos;
Manter o antivrus, aplicao de Patchs de segurana e a blacklist (filtro antispam)
de e-mail atualizados;
Rever a poltica de privilgios administrativos nas mquinas clientes, a fim de restringir a
instalao /execuo de binrios e ou executveis desconhecidos; e
Por fim, realizar campanhas internas, alertando os usurios a no clicar em links ou
baixar arquivos de e-mail suspeitos ou no reconhecidos como de origem esperada.

4. Referncias

http://dsic.planalto.gov.br/legislacao/RequisitosMnimosSIparaAPF.pdf/view
http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_02_RansomwareWNCRY.pdf
http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_04_RansomwarePetrwrap.pdf
http://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreads-
via-network-hits-ukraine-russia/
https://www.us-cert.gov/ncas/current-activity/2017/10/24/Multiple-Ransomware-Infections-
Reported

Braslia-DF, 25 de outubro de 2017.

Equipe do CTIR Gov