Ya te informamos el pasado mes de octubre de la presencia de esta amenaza en Internet. Su actividad se ha visto incrementada, sobre todo por la llegada del periodo navideño. Expertos en seguridad han descubierto un aspecto cuanto menos curioso de esta amenaza: BadRabbit es capaz de eludir la protección ofrecida por las herramientas de seguridad de la compañía rusa Dr. Web.
En este caso, cuando hablamos de eludir o evitar, el resultado no es satisfactorio para la amenaza.
Expertos en seguridad han aplicado ingeniería inversa a uno de los ejecutables de esta amenaza. Durante el análisis, descubrieron que si el equipo ejecuta alguno de los 4 procesos relacionados con las herramientas de seguridad de la firma rusa, su flujo se detiene. O lo que es lo mismo, no intenta hacer nada, ni cifrar la información ubicada en el equipo ni extenderse a otros equipos de red. Además de la empresa de seguridad FireEye, ha quedado también confirmado por Cylance.
El motivo para que esto sea así es una incógnita. No se sabe a ciencia cierta el motivo que les ha llevado a los propietarios de esta amenaza a llevar a cabo esta programación.
Desde Dr. Web también han querido salir al paso de este comportamiento. Indican que es cierto que en el momento de detectar uno de los productos en el sistema el funcionamiento “normal” de la amenaza se detiene. Indican que los propietarios de BadRabbit “tienen miedo” de los productos de la firma. La realidad es que, desde Dr. Web, han conseguido poner fin a varios ataques malware.
BadRabbit es muy peligroso
Para todos aquellos que no sepan de qué estamos hablando, la amenaza, una vez alcanza el equipo, lo primero que busca es el cifrado del MBR del disco. Es decir, el arranque del equipo sería imposible.
Desde Dr. Web indican que, cuando el equipo Windows está aún arrancando los procesos del sistema, se ha detectado que en algunas ocasiones el cifrado ha comenzado en esa etapa temprana. O lo que es lo mismo, cuando los procesos de la herramienta de seguridad de la firma rusa aún no han comenzado.
No es la única familia de productos de seguridad que evita
Expertos en seguridad indican que también se produce un comportamiento anómalo en equipos con sistema operativo Windows y la presencia de soluciones de seguridad de McAfee.
Al igual que en el caso anterior, tras el reinicio del equipo busca llevar a cabo el cifrado de la información del disco, o al menos de parte. Lo que sí aplaza es su expansión a otros equipos de la red.
La mayor parte de los equipos que están afectados por BadRabbit se localizan en Europa del Este, Estados Unidos y algunas zonas del norte de Europa. Por el momento, nuestro país queda excluida de la zona de difusión de esta amenaza. Sin embargo, aún es pronto para saber qué sucederá a corto plazo.
Hay que recordar que la amenaza apareció por primera vez en el mes de octubre. De acuerdo con el análisis realizado por los expertos en seguridad, indican que el recorrido de este ransomware es mucho mayor.