KASPERSKY LAB
MADRID, 25 Oct. (Portaltic/EP) -
Una nueva campaña de 'ransomware', protagonizada por un gusano identificado como Bad Rabbit, ha afectado desde este martes a dispositivos de países como Rusia, Ucrania, Turquía o Alemania a través de páginas web infectadas de medios de comunicación rusos. Se trata del tercer gran ciberataque protagonizado por este tipo de 'malware' en 2017, tras WannaCry y ExPetr.
La primera actividad infecciosa de Bad Rabbit fue detectada este martes por la agencia de noticias rusa Interfax, que vio cómo su página web dejaba de estar operativa. Otros medios de comunicación del país, como el periódico digital Fontanka, también se han visto afectados por la acción de este 'ransomware'.
La compañía de ciberseguridad Kaspersky Lab ha informado a través de un comunicado que la mayoría de las víctimas de este ataque se ubican en Rusia, aunque se han detectado casos "similares, pero en menor cantidad", en países como Turquía, Alemania o Ucrania. De hecho, el Aeropuerto Internacional de Odesa (Ucrania) ha alertado de un ataque informático contra su sistema de información, aunque la firma rusa no ha podido comprobar si está relacionado con este 'malware'.
Como ha sucedido con otros ciberataques de igual naturaleza, el 'ransomware' Bad Rabbit encripta determinados ficheros de la víctima y exige el pago de una cantidad económica por su recuperación. En este caso, este gusano solicita el abono de 0,05 Bitcoins, cifra que equivale a unos 234 euros, aproximadamente.
Según ha podido saber Kaspersky Lab, este ataque no se basa en 'exploits', sino que afecta a sus víctimas a través de un falso instalador del 'plugin' Adobe Flash, que es descargado desde sitios web infectados y activado manualmente al ejecutar por error el archivo ejecutable .exe.
Los investigadores de la compañía de ciberseguridad han detectado que Bad Rabbit ha infectado dispositivos desde varias páginas web 'hackeadas', todas ellas correspondientes a medios de comunicación rusos, por lo que entienden que es un "ataque dirigido" contra estas compañías que usa un método similar al también 'ransomware' ExPetr --conocido también como Petya o NotPetya--, aunque no es posible precisar si ambos virus están relacionados.
Por el momento, se desconoce si es posible recuperar los archivos encriptados mediante el pago del rescate exigido o aprovechándose de algún 'glitch' en el código del 'ransomware'.
Kaspersky Lab ha recomendado a los usuarios de sus productos antivirus que activen los servicios System Watcher y Kaspersky Security Network. Por su parte, la empresa rusa ha recomendado al resto de usuarios que bloqueen la ejecución de los archivos c:\windows\infpub.dat y c:\Windows\cscc.dat; deshabiliten el servicio Instrumental de administración de Windows (WMI); hagan una copia de seguridad de sus datos, y no paguen el rescate exigido por los ciberatacantes.