Aggiornamenti recenti Ottobre 9th, 2024 5:18 PM
Ott 25, 2017 Marco Schiaffino In evidenza, Malware, Minacce, News, Ransomware 0
Si chiama Bad Rabbit e secondo alcuni ricercatori sarebbe una nuova versione di NotPetya. Il nuovo ransomware si sta diffondendo da ieri con una certa velocità e sembra prendere di mira in particolare aziende ed enti pubblici come l’azienda di trasporti della metropolitana di Kiev e l’aeroporto di Odessa.
Il modus operandi, in effetti, sembra molto simile a quello di NotPetya, in particolare per quanto riguarda il fatto che è programmato per colpire tutti i computer a cui riesce ad accedere attraverso la rete locale. Sotto un profilo squisitamente tecnico, in realtà, ha ben poco in comune con il suo illustre predecessore.
NotPetya, infatti, per diffondersi all’interno della rete locale sfruttava EternalBlue, una vulnerabilità individuata dall’NSA e utilizzata anche dal celebre WannaCry, il ransomware che aveva falcidiato migliaia di computer lo scorso maggio.
Nel caso di Bad Rabbit, invece, le cose vanno molto diversamente. Secondo i ricercatori di Kaspersky Lab il ransomware non sfrutta alcun exploit, ma viene diffuso attraverso un attacco di drive-by, cioè utilizzando come vettore d’attacco alcuni siti Internet compromessi (e in particolare siti di news in lingua russa) in cui i pirati hanno inserito una porzione di codice PHP che propone ai visitatori l’installazione di un aggiornamento di Flash Player (sigh) e che deve essere avviato manualmente.
Si tratta di una tecnica di diffusione piuttosto antiquata e utilizzata centinaia di volte in passato dai pirati informatici, al punto che suscita un certo stupore il fatto che qualcuno possa ancora cascarci.
Purtroppo, però, per mettere in crisi un’intera rete basta un singolo utente che caschi nel tranello. Una volta colpito il primo PC, il ransomware è infatti in grado di diffondersi su tutti gli altri. Per farlo, Bad Rabbit utilizza una tecnica decisamente più artigianale rispetto a NotPetya, anche se indubbiamente efficace.
Come spiegano i ricercatori di ESET, è vero che il ransomware sfrutta il servizio SMB (Server Message Block), cioè lo stesso utilizzato da NotPetya. Al posto di sfruttare la vulnerabilità EternalBlue, però, Bad Rabbit utilizza un noto strumento di hacking (Mimikatz) per raccogliere le credenziali che consentono la comunicazione nella LAN.
Il malware utilizza anche una serie di credenziali “deboli” (per esempio username “admin” e password “123456”) per tentare di accedere ai PC raggiungibili. Vista la velocità con cui si sta diffondendo, possiamo dire che il trucco funziona.
A questo punto, Bad Rabbit avvia l’attacco vero e proprio. E qui c’è un’altra differenza rispetto a NotPetya. Il malware diffuso la scorsa estate era un “finto ransomware”, che chiedeva un riscatto ma in realtà si limitava a rendere inaccessibili i file senza alcuna possibilità di recuperarli.
Nel caso di Bad Rabbit, invece, il sistema di crittografia è funzionante e sfrutta un modulo derivato da DiskCryptor, uno strumento crittografico open source accessibile liberamente sul Web.
Una volta completata la cifratura dei file della vittima, il ransomware visualizza la richiesta di riscatto, in cui alla vittima viene assegnato un codice identificativo e il link per effettuare il pagamento.
La pagina Web (su circuito Tor) per il pagamento contiene un contatore che, con il passare del tempo, aumenta l’importo chiesto per ottenere la chiave di decodifica dei dati.
Stando a quanto riportano le società di sicurezza che stanno seguendo la vicenda, Bad Rabbit sembra aver colpito principalmente la Russia (quasi nel 65% dei casi) e marginalmente altri paesi come Ucraina, Bulgaria, Giappone, Germania e Turchia.
L’unico indizio riguardo gli autori del malware, almeno per il momento, è che sembrano essere grandi fan de Il Trono di Spade. Nel codice del ransomware, infatti, sono inseriti i noi di alcuni personaggi della popolare serie TV.
Ott 08, 2024 0
Ott 02, 2024 0
Ott 01, 2024 0
Set 30, 2024 0
Ott 09, 2024 0
Ott 09, 2024 0
Ott 07, 2024 0
Ott 07, 2024 0
Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...Ott 07, 2024 0
I ricercatori di Acronis hanno individuato un attacco...Ott 07, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...