Actualização 25/10/2017: nossa análise técnica desta campanha, chamada Bad Rabbit, já está disponível. 

Várias empresas de transporte na Ucrânia, assim como algumas organizações governamentais, sofreram um ciberataque por um ransomware. Como consequência, alguns computadores foram criptografados, segundo informações dos meios de comunicação locais.

Fontes de informações públicas do país confirmaram que os sistemas do Metrô de Kiev, o aeroporto de Odessa e várias empresas na Rússia estão entre os afetados.

A ESET descobriu que no caso do Metrô de Kiev, o malware usado neste ciberataque foi o Diskcoder.D, uma nova variante do ransomware também conhecido como Petya. Esta versão anterior foi a que causou o perturbador ciberataque de alcance global em junho de 2017.

Pedido de rescate do Diskcoder.D

O sistema de telemetria da ESET realizou centenas de detecções do Diskcoder.D, em sua maioria na Rússia e Ucrânia. No entanto, existem relatos de computadores afetados na Turquia, Bulgária e outros países. No entanto, os clientes da ESET estão protegidos desta ameaça.

Pesquisadores de segurança da ESET estão trabalhando em uma análise detalhada do malware Diskcoder.D. Segundo as descobertas preliminares, a ameaça usa a ferramenta Mimikatz para extrair credenciais dos sistemas infectados. Além disso, possui uma lista hardcodeada de credenciais.

A análise continua e atualizaremos este post a medida que tenhamos mais detalhes. Enquanto isso, relembre as medidas para estar protegido contra o ransomware apresentadas neste vídeo (em inglês):

https://www.youtube.com/watch?v=FV-HW3NYdF8

IoCs

afeee8b4acff87bc469a6f0364a81ae5d60a2add

de5c8d858e6e41da715dca1c019df0bfb92d32c0 (install_flash_player.exe)
hxxp://1dnscontrol.com/flash_install.php