Bad Rabbit combina falso Flash, SMB e criptografia de disco em campanha de ransomware

O ransomware afetou organizações na Ucrânia, Rússia, Turquia e Bulgária, usando download dirigido por sites comprometidos, roubo de credenciais em memória e tarefas agendadas para persistência e reinicialização.

Componente	Ransomware Bad Rabbit, incluindo dropper, payload principal, driver derivado do `DiskCryptor`, tarefas agendadas `rhaegal` e `drogon`, e artefatos em `C:\Windows\cscc.dat` e `C:\Windows\dispci.exe`.
Vetor	Download dirigido a partir de sites populares de mídia russos, com indução do usuário a aceitar uma falsa atualização do Adobe Flash; o rastreador foi descrito como incorporado ao código dos sites, não como malvertising.
Impacto	Criptografia de arquivos e do MBR, substituição do processo de inicialização, reinicialização forçada, indisponibilidade operacional e propagação interna por SMB com credenciais obtidas por ferramenta compatível com Mimikatz ou por tentativa de combinações pré-definidas.
Prioridade	Isolar sistemas com sinais de execução do dropper, bloquear propagação SMB, coletar telemetria antes da perda adicional de artefatos, revisar tarefas agendadas suspeitas e validar exposição de sites internos ou externos usados para distribuição.
Artefatos	`Readme.txt`, `DECRYPT.lnk`, `rhaegal`, `drogon`, `C:\Windows\cscc.dat`, `C:\Windows\dispci.exe`, execução indireta por comando operacional omitido e uso de driver assinado associado ao `DiskCryptor`.
Alcance	Foram relatados impactos na Ucrânia, Rússia, Turquia e Bulgária, incluindo setores de saúde, mídia, software, distribuição e infraestrutura crítica, com interrupções em serviços ferroviários ucranianos, aeroporto de Odessa e ministérios ucranianos.

Resumo técnico

Bad Rabbit foi observado como uma campanha de ransomware com distribuição inicial por download dirigido e comportamento pós-infecção voltado à criptografia de disco, indisponibilidade do sistema e movimentação dentro de redes Windows. A cadeia começa quando o usuário é induzido a aceitar uma falsa atualização do Adobe Flash apresentada a partir de sites de mídia comprometidos. O texto técnico disponível diferencia esse mecanismo de malvertising: a lógica de rastreamento e redirecionamento teria sido inserida diretamente no código dos sites usados como ponto de entrega, o que muda a prioridade de resposta para investigação de integridade em servidores web, CMS, templates, scripts de terceiros e alterações recentes de página.

O impacto relatado ultrapassou estáções individuais. Organizações na Ucrânia, Rússia, Turquia e Bulgária sofreram interrupções, incluindo empresas de saúde, mídia, software e distribuição, além de serviços considerados críticos, como operação ferroviária ucraniana, aeroporto de Odessa e ministérios ucranianos de Finanças e Infraestrutura. A consequência técnica central é a perda de disponibilidade: o malware prepara componentes no sistema, agenda execução na inicialização, aciona reinicialização, substitui o MBR, interage com um driver para criptografia e cria mecanismos de cobrança e recuperação condicionada. Não há dado no material analisado que sustente afirmar exfiltração de dados; a descrição confirma criptografia, substituição de inicialização, limpeza de rastros locais e propagação interna.

A investigação também delimita o que não foi observado. O ransomware não apresenta uso do exploit EternalBlue, associado a incidentes anteriores de larga escala, e a análise informa que não havia, naquele momento, conexão confirmada com Petya ou NotPetya. A diferença é relevante para defesa: controles voltados somente a exploração remota por EternalBlue não cobrem integralmente esse caso. A propagação descrita depende de SMB, compartilhamentos acessíveis, credenciais recuperadas da memória por uma ferramenta compatível com Mimikatz e um conjunto embutido de nomes de usuário e senhas testados contra recursos de rede.

Fluxo técnico

Após a execução inicial, o dropper desempacota um executável embutido e o aciona de forma indireta por comando operacional omitido. Esse componente intermediário executa preparação do ambiente antes do payload principal e da configuração do driver. A sequência verifica a presença do caminho C:\Windows\cscc.dat e encerra quando a condição esperada não é satisfeita. Em seguida, seleciona um driver conforme a arquitetura do sistema, 32 ou 64 bits, a partir de recursos internos do binário. O driver é gravado em C:\Windows\cscc.dat e configurado para execução durante a inicialização por meio do gerenciador de serviços.

O payload principal é gravado em C:\Windows\dispci.exe. Para persistência e execução após reinicialização, o malware cria a tarefa agendada rhaegal, que executa o payload como SYSTEM no início do sistema e inclui um identificador aleatório de quatro bytes como argumento. Outra tarefa, drogon, é usada para provocar reinicialização programada. O fluxo também inclui limpeza de eventos do Windows e remoção do diário USN da unidade, o que reduz visibilidade forense local e prejudica reconstrução de linha do tempo quando a coleta não acontece rapidamente. Depois dessas etapas, o malware remove a tarefa drogon, inicia uma rotina separada de criptografia de unidades e cria um arquivo Readme.txt com a nota de resgate.

A rotina criptográfica combina processamento de arquivos e manipulação de inicialização. A análise descreve uso de uma chave pública RSA-2048 para criptografia das unidades e aponta que o módulo principal possui lógica para criptografar e descriptografar o MBR e arquivos do sistema. O módulo principal, porém, não realiza toda a criptografia de arquivos sozinho; essa parte é executada pelo dropper. Após a reinicialização, o módulo principal usa o driver já carregado para operações de disco, enviando comandos personalizados por DeviceIOControl. Ele enumera volumes, coleta informações do sistema, consulta o dispositivo de boot e substitui o MBR por recursos embutidos que contêm um novo MBR e carregadores de segundo estágio.

O driver usado para criptografia é descrito como parte legítima do utilitário aberto DiskCryptor e assinado digitalmente. Esse detalhe torna a detecção mais complexa quando baseada apenas em assinatura de arquivo confiável ou reputação isolada do binário. O comportamento precisa ser correlacionado com o contexto: gravação em caminho incomum, criação de tarefas com nomes específicos, instalação de serviço de driver, operações de baixo nível em volumes, substituição de MBR, reinicialização forçada e vínculo com o payload dispci.exe. O malware também configura filtros para que arquivos de sistema e até despejos de memória de falha sejam criptografados, dificultando uma tentativa de análise baseada em crash dump após o comprometimento.

A movimentação interna depende de enumeração de endereços IP na sub-rede local e tentativas de acesso a compartilhamentos SMB pré-definidos. Para autenticação, o malware utiliza credenciais extraídas da memória por ferramenta compatível com Mimikatz e também tenta um conjunto embutido de combinações de usuário e senha. Quando consegue autenticar em um compartilhamento, copia seu dropper para o recurso remoto e aciona a execução por mecanismo administrativo do Windows, com chamada indireta ao componente copiado. Essa etapa não exige EternalBlue; ela depende de credenciais reutilizáveis, permissões excessivas, compartilhamentos expostos e falta de segmentação efetiva.

Superfície afetada

A superfície de risco inclui estáções e servidores Windows nos quais usuários possam iniciar o falso atualizador, ambientes com navegação para sites comprometidos usados como ponto de entrega, redes com SMB acessível lateralmente e domínios onde credenciais administrativas ou privilegiadas ficam expostas em memória. A campanha observada atingiu organizações de múltiplos setores e países, mas o modelo de ataque é especialmente crítico em redes planas, com compartilhamentos amplos e contas reutilizadas entre estáções, servidores de arquivos e sistemas operacionais.

Sistemas em que usuários possuem permissão suficiente para executar instaladores falsos, ambientes sem controle de aplicação e estáções com credenciais de administradores logadas interativamente apresentam maior risco. A presença de tarefas agendadas criadas como SYSTEM e a instalação de driver no caminho C:\Windows\cscc.dat indicam que a execução local conseguiu avançar além de um simples processo de usuário. Como a cadeia realiza reinicialização e substituição de MBR, a janela de resposta é curta: depois que o sistema reinicia, a recuperação passa a depender de capacidade de restauração, backups confiáveis, análise offline e contenção de propagação.

A superfície web também deve ser considerada. O vetor inicial é associado a sites de mídia russos e a um rastreador embutido no código desses sites. Para organizações que operam portais, intranets ou páginas públicas, o caso reforça a necessidade de verificar alterações não autorizadas em HTML, JavaScript, templates e componentes de terceiros. Mesmo quando a organização não é a origem da campanha, usuários internos acessando páginas comprometidas podem ser levados ao instalador falso.

Estáções Windows com execução de binários não confiáveis após navegação em sites comprometidos.
Redes com SMB acessível entre sub-redes, compartilhamentos abertos e credenciais reutilizadas.
Hosts com artefatos C:\Windows\cscc.dat, C:\Windows\dispci.exe, Readme.txt ou atalho DECRYPT.lnk.
Controladores, servidores de arquivos e estáções administrativas onde credenciais sensíveis possam estar presentes em memória.
Servidores web, CMS e templates que possam ter recebido rastreadores ou scripts injetados para induzir download.

Hunting e telemetria

A busca deve priorizar correlação entre criação de arquivos em diretórios do Windows, tarefas agendadas incomuns, execução indireta por binários nativos e alterações de baixo nível em disco. A criação de rhaegal e drogon é um sinal forte quando aparece junto de dispci.exe ou cscc.dat. A limpeza de logs e do diário USN deve ser tratada como indício de tentativa de reduzir rastreabilidade, principalmente se ocorrer pouco antes de reinicialização inesperada ou de perda de disponibilidade em múltiplos hosts.

Em endpoint, procure cadeias em que um processo relacionado a instalador falso ou navegador resulte em comando operacional omitido, gravação de payload em C:\Windows\dispci.exe, criação de serviço ou carregamento de driver, e interação com volumes por chamadas de controle de dispositivo. A telemetria de EDR deve destacar execução como SYSTEM, criação de tarefa no início do sistema, tentativa de reinicialização forçada e alterações no MBR. Como o driver é legítimo e assinado, a detecção não deve depender apenas do certificado; o comportamento e o caminho de instalação são mais úteis.

Na rede, a defesa deve procurar varredura de endereços da sub-rede local, tentativas de autenticação SMB em sequência, acesso a compartilhamentos administrativos ou abertos e execução remota associada a cópia de arquivos para recursos Windows. Eventos de autenticação com contas que normalmente não acessam determinados hosts, falhas repetidas com combinações de usuário e senha, e logons bem-sucedidos seguidos de execução remota devem ser investigados. Em identidade, é importante mapear onde contas privilegiadas estavam logadas antes do incidente, porque a cadeia usa credenciais recuperadas em memória.

Para servidores web potencialmente envolvidos na entrega inicial, hunting deve incluir comparação de arquivos de template, scripts adicionados recentemente, trechos de rastreamento desconhecidos e mudanças fora do ciclo normal de publicação. A presença de um falso fluxo de atualização do Flash deve ser analisada sem reproduzir a cadeia de infecção; a prioridade defensiva é preservar evidências, identificar o ponto de injeção e remover o mecanismo de entrega.

Criação ou execução de rhaegal e drogon em tarefas agendadas do Windows.
Gravação de C:\Windows\dispci.exe ou C:\Windows\cscc.dat em hosts afetados.
Execução de comando operacional omitido associada a DLL ou payload recém-gravado em diretórios do Windows.
Limpeza de logs de Setup, System, Security e Application seguida de reinicialização.
Remoção do diário USN da unidade do sistema, especialmente em proximidade temporal com eventos de ransomware.
Tentativas SMB em múltiplos hosts da mesma sub-rede e autenticações incomuns com contas reutilizadas.
Carregamento de driver legítimo fora do padrão operacional e operações de controle de dispositivo em volumes.
Alterações de MBR, criação de Readme.txt e presença de DECRYPT.lnk no desktop.

Mitigação

A resposta deve começar pela contenção de propagação. Hosts com sinais de Bad Rabbit precisam ser isolados da rede antes de reinicializações adicionais, porque a cadeia combina criptografia local com movimentação por SMB. Bloqueios temporários ou segmentação de SMB entre estáções, suspensão de compartilhamentos desnecessários e revogação de sessões com contas privilegiadas reduzem a chance de expansão. Contas que estiveram logadas em máquinas suspeitas devem ter suas credenciais trocadas, com prioridade para administradores locais, administradores de domínio e contas de serviço com acesso a compartilhamentos.

Em sistemas ainda ligados, a coleta deve ocorrer antes de ações que destruam evidências. Registre lista de tarefas agendadas, serviços, drivers carregados, processos, conexões SMB, artefatos em C:\Windows, eventos remanescentes e cópias de arquivos suspeitos para análise em ambiente controlado. Como a cadeia limpa logs e remove o diário USN, a telemetria centralizada de EDR, SIEM, controlador de domínio, servidor de arquivos e proxy tende a ser mais confiável do que apenas evidências locais após a execução completa.

Para recuperação, restaure sistemas a partir de backups offline ou imutáveis validados, com atenção a MBR, volumes criptografados e arquivos afetados. Não trate a remoção do binário como recuperação suficiente: hosts que chegaram à fase de driver, substituição de MBR ou criptografia de sistema devem ser reconstruídos ou restaurados com validação de integridade. A reintegração à rede deve ocorrer somente após rotação de credenciais, correção de permissões de compartilhamento, aplicação de controles de aplicação e verificação de ausência das tarefas e artefatos conhecidos.

A prevenção exige reduzir o caminho inicial e o caminho lateral. No endpoint, bloqueie execução de instaladores não aprovados, aplique controle de aplicação para diretórios sensíveis, monitore binários nativos usados fora do padrão e restrinja instalação de drivers. Na rede, limite SMB ao necessário, separe estáções de servidores críticos, elimine compartilhamentos abertos e revise senhas fracas ou reutilizadas. Em web, revise integridade de páginas e componentes que possam inserir rastreadores não autorizados, especialmente em portais de alto tráfego. A educação do usuário sobre falsos atualizadores ajuda, mas não deve substituir controles técnicos, porque a execução pós-clique avança rapidamente para persistência, criptografia e tentativa de propagação.

Isolar imediatamente hosts com dispci.exe, cscc.dat, rhaegal, drogon, Readme.txt ou DECRYPT.lnk.
Reduzir ou bloquear tráfego SMB lateral enquanto a extensão do incidente é determinada.
Rotacionar credenciais de contas usadas em hosts suspeitos, começando por privilégios administrativos.
Coletar tarefas agendadas, serviços, drivers, processos, eventos centralizados e conexões antes de reinicializar sistemas analisáveis.
Restaurar a partir de backups confiáveis e validar MBR, volumes e integridade de arquivos antes de reconectar máquinas.
Aplicar controle de aplicação para impedir falsos instaladores e execução não autorizada em diretórios do Windows.
Revisar permissões de compartilhamentos, remover credenciais reutilizadas e segmentar estáções de ativos críticos.
Auditar sites e CMS sob controle da organização para rastreadores ou scripts injetados que possam induzir download.

Bad Rabbit combina falso Flash, SMB e criptografia de disco em campanha de ransomware

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Bad Rabbit combina falso Flash, SMB e criptografia de disco em campanha de ransomware

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato