Accedi al tuo profilo

Selezione la tua area di interesse

News Recenti

Bad Rabbit usa gli exploit dell’NSA. E ora si parla di complotto…

Ott 27, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, Intrusione, Malware, News, RSS 0

Ulteriori analisi sul ransomware hanno individuato l’uso di EternalRomance. Gli analisti: “sono gli stessi pirati di Not Petya”.

Contrordine: se in un primo momento si era escluso che il ransomware Bad Rabbit (individuato nelle scorse ore) sfruttasse le famigerate vulnerabilità dell’NSA utilizzate anche da WannaCry e NotPetya, ora i ricercatori aggiustano il tiro e mettono in evidenza maggiori collegamenti con gli attacchi di questa estate.

A cambiare le carte in tavola sono state le analisi dei ricercatori di Talos, che hanno scoperto all’interno del malware porzioni di codice che sfruttano EternalRomance, una delle vulnerabilità dell’NSA rese pubbliche dal gruppo hacker Shadow Brokers.

EternalRomance sfrutta una vulnerabilità in SMB (Server Message Block) e in Bad Rabbit viene usato per diffondere il ransomware all’interno delle reti locali. Buona parte del codice, però, sarebbe identica (o per lo meno simile) a quella di NotPetya.

La scoperta dei ricercatori di Talos cambia completamente la prospettiva e conferma i sospetti di chi parlava di un legame tra Bad Rabbit e NotPetya.

L’analisi del codice usato da Bad Rabbit non lascia dubbi: sfrutta le vulnerabilità scoperte dall’NSA con modalità simili a quelle degli exploit rilasciati dagli Shadow Brokers.

D’altra parte le nazioni più prese di mira da Bad Rabbit corrispondono più o meno a quelle travolte da Not Petya: Russia e Ucraina. Anche il modus operandi sarebbe lo stesso e, in particolare, avrebbe richiesto un’attenta pianificazione.

Nel caso di NotPetya per violare i server dell’azienda ucraina che è stata usata come “trampolino” per l’attacco. In questo caso per accedere ai siti Web utilizzati per diffondere il malware.

La situazione, però, è piuttosto confusa. In passato i ricercatori di ESET avevano collegato NotPetya a un gruppo di pirati informatici chiamati TeleBots, che si sono resi protagonisti degli attacchi alla rete di distribuzione di energia elettrica in Ucraina.

L’attribuzione, per quanto sapevamo allora, non faceva una grinza: anche la diffusione di NotPetya, infatti, sembrava essere parte di un piano specifico che prendeva di mira specificatamente il territorio ucraino. L’ipotesi, insomma, era che si trattasse di un gruppo hacker inserito nel conflitto tra Russia e Ucraina.

Qualcosa, però, non torna. Bad Rabbit, infatti, ha colpito solo marginalmente l’Ucraina e ha picchiato duro proprio in Russia. Che senso avrebbe questo cambio di strategia?

Secondo alcuni ricercatori, però, l’uso di un ransomware sarebbe solo una specie di cortina fumogena per occultare altre attività. In particolare, potrebbe essere usato per cancellare le prove di intrusioni “mirate” in alcuni sistemi informatici.

Condividi l'articolo