Bad Rabbit: una nuova epidemia di ransomware è in aumento
Il post viene aggiornato man mano che i nostri esperti trovano nuovi dettagli sul malware.
Abbiamo già visto due attacchi ransomware su larga scala quest’anno – stiamo parlando dei famigerati WannaCry e ExPetr (noto anche come Petya e NotPetya). Sembra che un terzo attacco sia in aumento: Il nuovo malware si chiama Bad Rabbit – almeno, questo è il nome indicato dal sito web darknet collegato nella nota di riscatto.
Quello che si sa al momento è che il ransomware Bad Rabbit ha infettato diversi grandi media russi, con l’agenzia di stampa Interfax e Fontanka.ru tra le vittime confermate del malware. L’aeroporto internazionale di Odessa ha riferito di un cyberattacco al suo sistema informativo, anche se non è ancora chiaro se si tratta dello stesso attacco.
I criminali dietro l’attacco Bad Rabbit chiedono 0,05 bitcoin come riscatto – che è circa 280 dollari al tasso di cambio attuale.
Secondo le nostre scoperte, si tratta di un attacco drive-by: Le vittime scaricano un falso programma di installazione di Adobe Flash da siti web infetti e lanciano manualmente il file .exe, infettandosi così. I nostri ricercatori hanno rilevato una serie di siti web compromessi, tutti siti di notizie o media.
Secondo i nostri dati, la maggior parte delle vittime di questi attacchi si trova in Russia. Abbiamo anche visto attacchi simili, ma meno numerosi, in Ucraina, Turchia e Germania. Questo ransomware ha infettato i dispositivi attraverso una serie di siti web russi violati. Sulla base delle nostre indagini, questo è un attacco mirato contro le reti aziendali, utilizzando metodi simili a quelli utilizzati nell’attacco ExPetr.
I nostri esperti hanno raccolto abbastanza prove per collegare l’attacco Bad Rabbit con l’attacco ExPetr, avvenuto nel giugno di quest’anno. Secondo la loro analisi, parte del codice utilizzato in Bad Rabbit è stato precedentemente individuato in ExPetr.
Altre somiglianze includono la stessa lista di domini utilizzati per l’attacco drive-by (alcuni di questi domini sono stati violati in giugno, ma non utilizzati) così come le stesse tecniche utilizzate per diffondere il malware nelle reti aziendali – entrambi gli attacchi hanno utilizzato Windows Management Instrumentation Command-line (WMIC) per questo scopo. Tuttavia, c’è una differenza: A differenza di ExPetr, Bad Rabbit non usa l’exploit EternalBlue per l’infezione. Ma utilizza l’exploit EternalRomance per muoversi lateralmente sulla rete locale.
I nostri esperti pensano che lo stesso attore di minacce sia dietro entrambi gli attacchi e che questo attore di minacce stava preparando l’attacco Bad Rabbit da luglio 2017, o anche prima. Tuttavia, a differenza di ExPetr, Bad Rabbit sembra non essere un wiper, ma solo un ransomware: cripta i file di alcuni tipi e installa un bootloader modificato, impedendo così al PC di avviarsi normalmente. Poiché non è un wiper, i malfattori dietro di esso hanno potenzialmente la capacità di decifrare la password, che, a sua volta, è necessaria per decifrare i file e consentire al computer di avviare il sistema operativo.
Purtroppo, i nostri esperti dicono che non c’è modo di recuperare i file crittografati senza conoscere la chiave di crittografia. Tuttavia, se per qualche motivo Bad Rabbit non ha criptato l’intero disco, è possibile recuperare i file dalle copie ombra (se le copie ombra erano abilitate prima dell’infezione). Continuiamo la nostra indagine. Nel frattempo, puoi trovare ulteriori dettagli tecnici in questo post su Securelist.
I prodotti di Kaspersky Lab rilevano l’attacco con i seguenti verdetti:
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- DangerousObject.Multi.Generic
- PDM:Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
Per evitare di diventare una vittima di Bad Rabbit:
Utenti dei prodotti Kaspersky Lab:
- Assicurati di avere System Watcher e Kaspersky Security Network in esecuzione. Se no, è essenziale attivare queste funzioni.
Altri utenti:
- Blocca l’esecuzione dei file c:windowsinfpub.dat e c:Windowscscc.dat.
- Disabilita il servizio WMI (se è possibile nel tuo ambiente) per evitare che il malware si diffonda nella tua rete.
Consigli per tutti:
- Fai il backup dei tuoi dati.
- Non pagare il riscatto.