# Bad Rabbit > [!warning] Resumo > Ransomware wiper que atacou midia russa e infraestrutura ucraniana em outubro de 2017, distribuido como falso instalador do Adobe Flash Player em sites de noticias comprometidos. Partilha 27% do código com NotPetya, usa EternalRomance para propagação via SMB e DiskCryptor para criptografia de disco. Suspeito de ser obra do mesmo grupo responsavel pelo NotPetya (Sandworm), planejado desde julho de 2017. ## Visão Geral O [[s0606-bad-rabbit|Bad Rabbit]] foi um ataque de ransomware/wiper que atingiu principalmente Russia e Ucrania em 24 de outubro de 2017, com impacto registrado também na Turquia, Bulgaria, Alemanha, Jápao e Estoncia. As principais vitimas incluiram as agencias de noticias russas Fontanka e Interfax, o metro de Kiev, o aeroporto internacional de Odessa e o Ministerio de Infraestrutura ucraniano. A distribuição foi via watering hole attack: sites de midia comprometidos com um script de rastreamento que servia um popup pedindo ao usuario para atualizar o Adobe Flash Player. O arquivo malicioso `install_flash_player.exe`, ao ser executado com privilegios administrativos (sem UAC bypass, dependendo de engenharia social), instalava o ransomware. Análise da Intezer revelou 27% de reuso de código com amostras do [[s0368-notpetya|NotPetya]], e o Kaspersky identificou que 30 dos sites previamente comprometidos pelo NotPetya em junho de 2017 foram reutilizados para distribuir Bad Rabbit - sugerindo planejamento coordenado desde julho de 2017. A atribuicao mais provavel e ao grupo [[g0034-sandworm|Sandworm]] (APT28 adjacente), responsavel pelo NotPetya. O Bad Rabbit e técnicamente mais sofisticado que um ransomware comum: usa DiskCryptor (software legitimo open-source) para criptografar o MBR e arquivos, Mimikatz incorporado para extração de credenciais, e o exploit EternalRomance (CVE-2017-0145) para propagação SMB - o mesmo exploit usado no NotPetya e WannaCry. Curiosidade: os arquivos de tarefas agendadas foram nomeados em referência a Game of Thrones: `rhaegal.job`, `drogon.job` e `viserion_23.job`. **Plataformas:** Windows ## Cadeia de Infecção ```mermaid graph TB A["Watering Hole<br/>Sites de midia comprometidos<br/>com script rastreador"] --> B["Falso Flash Player<br/>install_flash_player.exe<br/>servido via popup"] B --> C["Execução Manual<br/>Vitima executa com<br/>privilegios de admin (UAC)"] C --> D["Drop de Componentes<br/>infpub.dat via rundll32<br/>dispci.exe no Windows"] D --> E["Criptografia de Arquivos<br/>DiskCryptor para mais de<br/>100 extensoes de arquivo"] E --> F["Modificacao do MBR<br/>Bootloader malicioso<br/>instalado no disco"] F --> G["Propagação SMB<br/>EternalRomance (MS17-010)<br/>e dicionario de senhas"] G --> H["Reinicializacao Agendada<br/>Tarefa Game of Thrones<br/>rhaegal drogon viserion"] H --> I["Exibicao do Ransom Note<br/>0.05 Bitcoin para<br/>acesso ao site .onion"] ``` ## Comparacao com NotPetya ```mermaid graph TB A["Semelhanças<br/>Bad Rabbit vs NotPetya"] --> B["Vetor inicial watering hole<br/>em midia russa/ucraniana"] A --> C["Reuso de código<br/>27 porcento identico"] A --> D["Estrutura DLL<br/>infpub.dat como perfc.dat"] A --> E["Uso de Mimikatz<br/>para credenciais"] A --> F["Modificacao de MBR<br/>bootlocker identico"] G["Diferencas"] --> H["Nao usa EternalBlue<br/>usa EternalRomance"] G --> I["Instalacao manual<br/>depende de engenharia social"] G --> J["Pagamento possível<br/>via Tor (NotPetya: nao)"] ``` ## Tacticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1189-drive-by-compromise\|T1189]] | Watering hole em sites de midia comprometidos | | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566]] | Engenharia social para execução do falso Flash | | Acesso a Credenciais | [[t1110-001-password-guessing\|T1110.001]] | Dicionario de senhas comuns para propagação SMB | | Acesso a Credenciais | [[t1003-credential-dumping\|T1003]] | Mimikatz incorporado para extracro de credenciais | | Execução | [[t1047-windows-management-instrumentation\|T1047]] | WMI para executar copias em sistemas remotos | | Movimentação Lateral | [[t1210-exploitation-of-remote-services\|T1210]] | EternalRomance (CVE-2017-0145) para SMB | | Movimentação Lateral | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Compartilhamentos administrativos SMB | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Tarefas agendadas para reinicializacao | | Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia de 100+ extensoes com DiskCryptor | | Impacto | [[t1561-001-disk-content-wipe\|T1561]] | Modificacao/criptografia do MBR | ## Impacto Documentado (Outubro 2017) | Organização | Pais | Impacto | |-------------|------|---------| | Fontanka.ru | Russia | Sistemas de redacao comprometidos | | Interfax | Russia | Servicos de agencia de noticias offline | | Metro de Kiev | Ucrania | Sistemas de pagamento interrompidos | | Aeroporto de Odessa | Ucrania | Check-in manual por horas | | Ministerio Infraestrutura | Ucrania | Sistemas governamentais afetados | | Empresas Turquia/Bulgaria | Multiplos | Propagação internacional | ## Relevância LATAM/Brasil Embora o impacto direto do Bad Rabbit em 2017 tenha sido concentrado na Europa Oriental, o ataque tem relevância para o Brasil por múltiplas razoes: (1) demonstra a técnica de watering hole via sites de midia - método aplicavel a qualquer pais com sites de jornalismo comprometidos; (2) o uso de EternalRomance/EternalBlue afetou redes sem patch MS17-010, incluindo no Brasil; (3) o [[g0034-sandworm|Sandworm]], grupo por tras do ataque, tem operações globais e o Brasil, como economia critica, esta em seu escopo de vigilancia. Organizacoes de infraestrutura critica e midia brasileiras devem aplicar as lições aprendidas do Bad Rabbit. Medida de mitigação imediata historica: criar os arquivos `C:\Windows\infpub.dat` e `C:\Windows\cscc.dat` como somente leitura impede a infecção - o dropper verifica a existencia desses arquivos antes de prosseguir. ## Detecção > [!tip] Indicadores de Detecção > - Detectar criação de arquivos `infpub.dat`, `dispci.exe` ou `cscc.dat` em `C:\Windows\` > - Monitorar execução de rundll32.exe chamando DLLs nao-padrao no diretorio Windows > - Alertar sobre criação de tarefas agendadas com nomes inusitados ou de Game of Thrones > - Detectar trafego SMB porta 445 para IPs externos (propagação) > - Monitorar múltiplas tentativas de login SMB com senhas de dicionario (brute force de credenciais) > - YARA: buscar strings DiskCryptor em arquivos executaveis nao assinados ## Referências - [MITRE ATT&CK - Bad Rabbit](https://attack.mitre.org/software/S0606/) - [Trend Micro - Bad Rabbit Ransomware Spreads via Network](https://www.trendmicro.com/en_us/research/17/j/bad-rabbit-ransomware-spreads-via-network-hits-ukraine-russia.html) - [Checkpoint Research - Bad Rabbit Full Investigation](https://research.checkpoint.com/2017/bad-rabbit-full-research-investigation/) - [Intezer - NotPetya Returns as Bad Rabbit](https://intezer.com/blog/research/notpetya-returns-bad-rabbit/) - [Malwarebytes - BadRabbit Closer Look](https://www.malwarebytes.com/blog/news/2017/10/badrabbit-closer-look-new-version-petyanotpetya)