Una nuova campagna ransomware ha colpito una serie di obiettivi di alto profilo in Russia e in Europa orientale.
Soprannominato Bad Rabbit, il ransomware ha iniziato a infettare i sistemi martedì 24 ottobre, e il modo in cui le organizzazioni sembrano essere state colpite simultaneamente ha immediatamente attirato paragoni con le epidemie WannaCry e Petya di quest’anno.
Dopo l’epidemia iniziale, c’è stata una certa confusione su cosa sia esattamente Bad Rabbit. Ora il panico iniziale si è spento, tuttavia, è possibile scavare in quello che sta succedendo esattamente.
1. Il cyber-attacco ha colpito organizzazioni in tutta la Russia e l’Europa orientale
Le organizzazioni in Russia e Ucraina – così come un piccolo numero in Germania e Turchia – sono cadute vittime del ransomware. I ricercatori di Avast dicono di aver rilevato il malware anche in Polonia e Corea del Sud.
La società russa di cybersicurezza Group-IB ha confermato che almeno tre organizzazioni di media nel paese sono state colpite da un malware che cripta i file, mentre allo stesso tempo l’agenzia di stampa russa Interfax ha detto che i suoi sistemi sono stati colpiti da un “attacco hacker” – e sono stati apparentemente messi offline dall’incidente.
Altre organizzazioni della regione, tra cui l’aeroporto internazionale di Odessa e la metropolitana di Kiev, hanno anche fatto dichiarazioni di cadere vittima di un cyber-attacco, mentre il CERT-UA, il Computer Emergency Response Team dell’Ucraina, ha anche pubblicato che il “possibile inizio di una nuova ondata di cyberattacchi alle risorse informatiche dell’Ucraina” si è verificato, come le segnalazioni di infezioni Bad Rabbit hanno iniziato ad arrivare.
Al momento della scrittura, si pensa che ci siano quasi 200 obiettivi infetti, indicando che questo non è un attacco come lo è stato WannaCry o Petya – ma sta ancora causando problemi alle organizzazioni infette.
“La prevalenza totale dei campioni noti è abbastanza bassa rispetto agli altri ceppi “comuni””, ha detto Jakub Kroustek, analista di malware di Avast.
2. È sicuramente un ransomware
Quelli abbastanza sfortunati da cadere vittime dell’attacco hanno capito subito cosa era successo perché il ransomware non è sottile – presenta alle vittime una nota di riscatto che dice loro che i loro file “non sono più accessibili” e “nessuno sarà in grado di recuperarli senza il nostro servizio di decrittazione”.
La nota di riscatto di Bad Rabbit.
Immagine: ESET
Le vittime sono dirette a una pagina di pagamento Tor e vengono presentate con un timer per il conto alla rovescia. Pagate entro le prime 40 ore circa, viene detto loro, e il pagamento per la decriptazione dei file è di 0,05 bitcoin — circa 285 dollari. A coloro che non pagano il riscatto prima che il timer arrivi a zero viene detto che la tassa salirà e dovranno pagare di più.
Pagina di pagamento di Bad Rabbit.
Immagine: Kaspersky Lab
La crittografia utilizza DiskCryptor, che è un software open source legittimo e utilizzato per la crittografia completa del disco. Le chiavi sono generate usando CryptGenRandom e poi protette da una chiave pubblica RSA 2048 hardcoded.
3. Si basa su Petya/Non Petya
Se la nota di riscatto sembra familiare, è perché è quasi identica a quella che hanno visto le vittime dell’epidemia Petya di giugno. Le somiglianze non sono solo estetiche – Bad Rabbit condivide anche elementi dietro le quinte con Petya.
L’analisi dei ricercatori di Crowdstrike ha scoperto che le DLL (dynamic link library) di Bad Rabbit e NotPetya condividono il 67% dello stesso codice, indicando che le due varianti di ransomware sono strettamente correlate, potenzialmente anche il lavoro dello stesso attore della minaccia.
4. Si diffonde tramite un falso aggiornamento Flash su siti web compromessi
Il modo principale in cui Bad Rabbit si diffonde è il download drive-by su siti web violati. Non vengono usati exploit, piuttosto ai visitatori dei siti web compromessi – alcuni dei quali sono stati compromessi da giugno – viene detto che devono installare un aggiornamento Flash. Naturalmente, questo non è un aggiornamento Flash, ma un dropper per l’installazione maligna.
Un sito web compromesso che chiede a un utente di installare un falso aggiornamento Flash che distribuisce Bad Rabbit.
Immagine: ESET
I siti web infetti – per lo più basati in Russia, Bulgaria e Turchia – sono compromessi con l’iniezione di JavaScript nel loro corpo HTML o in uno dei loro file .js.
5. Può diffondersi lateralmente attraverso le reti…
Molto simile a Petya, Bad Rabbit ha un potente asso nella manica: contiene un componente SMB che gli permette di muoversi lateralmente attraverso una rete infetta e propagarsi senza l’interazione dell’utente, dicono i ricercatori di Cisco Talos.
Ciò che aiuta la capacità di diffusione di Bad Rabbit è un elenco di semplici combinazioni di username e password che può sfruttare per forzare la sua strada attraverso le reti. La lista delle password deboli consiste in una serie di sospetti usuali per le password deboli, come combinazioni di numeri semplici e ‘password’.
6. … ma non usa EternalBlue
Quando Bad Rabbit è apparso per la prima volta, alcuni hanno suggerito che, come WannaCry, sfruttasse l’exploit EternalBlue per diffondersi. Tuttavia, questo ora non sembra essere il caso.
“Attualmente non abbiamo prove che l’exploit EternalBlue sia utilizzato per diffondere l’infezione”, ha detto a ZDNet Martin Lee, Technical Lead for Security Research di Talos.
7. Potrebbe non essere indiscriminato
Allo stesso punto dopo l’epidemia di WannaCry, centinaia di migliaia di sistemi in tutto il mondo sono stati vittime del ransomware. Tuttavia, Bad Rabbit non sembra infettare indiscriminatamente gli obiettivi, piuttosto i ricercatori hanno suggerito che infetta solo obiettivi selezionati.
“Le nostre osservazioni suggeriscono che questo è stato un attacco mirato contro le reti aziendali”, hanno detto i ricercatori di Kaspersky Lab.
Nel frattempo, i ricercatori di ESET dicono che le istruzioni nello script iniettato nei siti web infetti “possono determinare se il visitatore è di interesse e quindi aggiungere contenuti alla pagina” se l’obiettivo è ritenuto adatto per l’infezione.
Tuttavia, in questa fase, non vi è alcuna ragione evidente perché le organizzazioni dei media e le infrastrutture in Russia e Ucraina sono state specificamente prese di mira in questo attacco.
8. Non è chiaro chi ci sia dietro
In questo momento, non si sa ancora chi stia distribuendo il ransomware o perché, ma la somiglianza con Petya ha portato alcuni ricercatori a suggerire che Bad Rabbit sia dello stesso gruppo di attacco — anche se questo non aiuta a identificare l’attaccante o il motivo, perché l’autore dell’epidemia di giugno non è mai stato identificato.
Quello che contraddistingue questo attacco è il modo in cui ha infettato principalmente la Russia – le organizzazioni cybercriminali dell’Europa orientale tendono ad evitare di attaccare la “madrepatria”, indicando che è improbabile che si tratti di un gruppo russo.
9. Contiene riferimenti a Game of Thrones
Chiunque ci sia dietro Bad Rabbit, sembra essere un fan di Game of Thrones: il codice contiene riferimenti a Viserion, Drogon e Rhaegal, i draghi che compaiono nella serie televisiva e nei romanzi su cui è basata. Gli autori del codice non stanno quindi facendo molto per cambiare l’immagine stereotipata degli hacker come geek e nerd.
Riferimenti ai draghi di Game of Thrones nel codice.
Immagine: Kaspersky Lab
10. Puoi proteggerti dall’infezione
In questa fase, non si sa se è possibile decifrare i file bloccati da Bad Rabbit senza cedere e pagare il riscatto – anche se i ricercatori dicono che coloro che cadono vittime non dovrebbero pagare la tassa, in quanto incoraggerebbe solo la crescita del ransomware.
Un certo numero di fornitori di sicurezza dicono che i loro prodotti proteggono contro Bad Rabbit. Ma per coloro che vogliono essere sicuri di non cadere potenzialmente vittima dell’attacco, Kaspersky Lab dice che gli utenti possono bloccare l’esecuzione del file ‘c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.’ per prevenire l’infezione.
Precedente copertura
Bad Rabbit ransomware: Una nuova variante di Petya si sta diffondendo, avvertono i ricercatori
Aggiornato: Le organizzazioni in Russia, Ucraina e altri paesi sono cadute vittime di quella che si pensa sia una nuova variante del ransomware.
LEGGI TUTTO SU RANSOMWARE
- Dopo WannaCry, il ransomware peggiorerà prima di migliorare
- Ransomware: Una guida esecutiva a una delle più grandi minacce sul web
- 6 consigli per evitare il ransomware dopo Petya e WannaCry (TechRepublic)
- La tua mancata applicazione degli aggiornamenti critici di cybersecurity sta mettendo la tua azienda a rischio dal prossimo WannaCry o Petya
- Come proteggersi dal ransomware WannaCry (CNET)