Actualización 25/10/2017: Ya está disponible nuestro análisis técnico de esta campaña, llamada Bad Rabbit.

Varias organizaciones de transporte en Ucrania, así como algunas organizaciones gubernamentales, sufrieron un ciberataque a manos de un ransomware. Como resultado, algunas computadoras fueron cifradas, según reportes de medios locales.

Fuentes públicas del país confirmaron que los sistemas del Metro de Kiev, el aeropuerto de Odessa y varias organizaciones en Rusia están entre los afectados.

ESET descubrió que en el caso del Metro de Kiev, el malware usado en este ciberataque fue Diskcoder.D, una nueva variante del ransomware también conocido como Petya. Esta versión anterior fue la que causó el disruptivo ciberataque de alcance global en junio de 2017.

Pedido de rescate de Diskcoder.D

La telemetría de ESET ha hecho cientos de detecciones de Diskcoder.D, en su mayoría en Rusia y Ucrania. Sin embargo, también hay reportes de computadoras afectadas en Turquía, Bulgaria y otros países. De todas formas, los clientes de ESET están protegidos de esta amenaza.

Investigadores de seguridad de ESET están trabajando en un análisis detallado del malware Diskcoder.D. Según los hallazgos preliminares, usa a la herramienta Mimikatz para extraer credenciales de los sistemas infectados. Además, posee una lista hardcodeada de credenciales.

El análisis continúa y actualizaremos este artículo a medida que tengamos más detalles. Mientras tanto, recuerda las medidas para protegerte del ransomware que reunimos en esta guía gratuita y en este video:

IoCs

afeee8b4acff87bc469a6f0364a81ae5d60a2add
de5c8d858e6e41da715dca1c019df0bfb92d32c0 (install_flash_player.exe)
hxxp://1dnscontrol.com/flash_install.php