Aggiornamenti recenti Agosto 19th, 2025 1:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- PyPI blocca i “domain resurrection”: disattivate 1.800 email
- CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora sotto attacco
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
- Un invito Google Calendar bastava per prendere il controllo di Gemini
Bad Rabbit usa gli exploit dell’NSA. E ora si parla di complotto…
Ulteriori analisi sul ransomware hanno individuato l’uso di EternalRomance. Gli analisti: “sono gli stessi pirati di Not Petya”.
Contrordine: se in un primo momento si era escluso che il ransomware Bad Rabbit (individuato nelle scorse ore) sfruttasse le famigerate vulnerabilità dell’NSA utilizzate anche da WannaCry e NotPetya, ora i ricercatori aggiustano il tiro e mettono in evidenza maggiori collegamenti con gli attacchi di questa estate.
A cambiare le carte in tavola sono state le analisi dei ricercatori di Talos, che hanno scoperto all’interno del malware porzioni di codice che sfruttano EternalRomance, una delle vulnerabilità dell’NSA rese pubbliche dal gruppo hacker Shadow Brokers.
EternalRomance sfrutta una vulnerabilità in SMB (Server Message Block) e in Bad Rabbit viene usato per diffondere il ransomware all’interno delle reti locali. Buona parte del codice, però, sarebbe identica (o per lo meno simile) a quella di NotPetya.
La scoperta dei ricercatori di Talos cambia completamente la prospettiva e conferma i sospetti di chi parlava di un legame tra Bad Rabbit e NotPetya.
L’analisi del codice usato da Bad Rabbit non lascia dubbi: sfrutta le vulnerabilità scoperte dall’NSA con modalità simili a quelle degli exploit rilasciati dagli Shadow Brokers.
D’altra parte le nazioni più prese di mira da Bad Rabbit corrispondono più o meno a quelle travolte da Not Petya: Russia e Ucraina. Anche il modus operandi sarebbe lo stesso e, in particolare, avrebbe richiesto un’attenta pianificazione.
Nel caso di NotPetya per violare i server dell’azienda ucraina che è stata usata come “trampolino” per l’attacco. In questo caso per accedere ai siti Web utilizzati per diffondere il malware.
La situazione, però, è piuttosto confusa. In passato i ricercatori di ESET avevano collegato NotPetya a un gruppo di pirati informatici chiamati TeleBots, che si sono resi protagonisti degli attacchi alla rete di distribuzione di energia elettrica in Ucraina.
L’attribuzione, per quanto sapevamo allora, non faceva una grinza: anche la diffusione di NotPetya, infatti, sembrava essere parte di un piano specifico che prendeva di mira specificatamente il territorio ucraino. L’ipotesi, insomma, era che si trattasse di un gruppo hacker inserito nel conflitto tra Russia e Ucraina.
Qualcosa, però, non torna. Bad Rabbit, infatti, ha colpito solo marginalmente l’Ucraina e ha picchiato duro proprio in Russia. Che senso avrebbe questo cambio di strategia?
Secondo alcuni ricercatori, però, l’uso di un ransomware sarebbe solo una specie di cortina fumogena per occultare altre attività. In particolare, potrebbe essere usato per cancellare le prove di intrusioni “mirate” in alcuni sistemi informatici.
Condividi l'articolo
- Bad Rabbit, ESET, EternalRomance, Marco Schiaffino, NotPetya, NSA, russia, Shadow Brokers, Talos, Ucraina
Bug critico per Chrome V8, ma i dettagli rimangono segreti
Ricatto al forum hacker: 50.000 dollari o pubblico l’identità dell’admin
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
PyPI blocca i “domain resurrection”: disattivate 1.800... Il team di sicurezza della Python Software Foundation,... -
CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora... Nel corso di questa settimana il CERT-AGID ha rilevato -
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di... -
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un...
Ransomware: la serie
No posts found.