Bad Rabbit, ransomware simile a Petya si diffonde in Russia ed Est Europa

Bad Rabbit, ransomware simile a Petya si diffonde in Russia ed Est Europa

Si sta abbattendo in Russia e nell'Est Europeo una nuova campagna ransomware che pare avere legami con Petya e le varianti ExPetr/NotPetya: colpite varie realtà tra cui l'aeroporto di Odessa e la metropolitana di Kiev

di pubblicata il , alle 10:51 nel canale Sicurezza
 

Diverse società dedicate alla sicurezza informatica avvertono dell'abbattersi di un nuovo flagello-ransomware in Russia e nell'Est Europeo. C'è ancora incertezza su chi vi sia dietro l'attacco, chi siano tutte le vittime, come il malware si stia diffondendo o chi l'abbia originato, anche se numerosi frammenti di informazione aiutano a costruire un quadro di riferimento.

Il malware viene denominato Bad Rabbit e avrebbe colpito, secondo quanto noto fino ad ora, diverse realtà russe legate al mondo dell'informazione e delle notizie tra le quali l'agenzia stampa Interfax e Fontanka. Group-IB, società di sicurezza russa, ha dichiarato che Bad Rabbit, probabilmente collegato con Petya, è protagonista di un'ondata di attacchi che ha preso di mira anche l'aeroporto di Odessa, la metropolitana di Kiev e il Ministero delle Infrastrutture ucraino.

Vyacheslav Zakorzhevsky, portavoce per Kaspersky Lab, ha dichiarato: "Secondo le informazioni in nostro possesso la maggior parte delle vittime prese di mira da questi attacchi sono situate in Russia. Abbiamo visto altri attacchi simili, ma in minor numero, in Ukraina, Turchia e Germania. Questo ransomware infetta dispositivi tramite alcuni siti web compromessi di media russi. Sulla base delle nostre indagini si tratta di un attacco che prende di mira le reti corporate, usando metodi simili a quelli usati durante l'attacco ExPetr/NotPetya. Non possiamo comunque confermare che sia legato ad esso.

Anche la società di sicurezza ESET, con base in Repubblica Ceca, sospetta che vi sia qualche attinenza con il malware che si è diffuso in Ucraina nel corso dell'estate. Sul proprio blog ESET afferma che, almeno nel caso della metropolitana di Kiev, il malware rilevato è una variante del ransomware Petya, laddove NotPetya era essa stessa una variante di Petya. ESET ha dichiarato di aver rilevato centinaia di infezioni.

Quando Bad Rabbit infetta un sistema, richiede alle vittime di registrarsi ad un servizio occultato con Tor e corrispondere un pagamento di 0,05 bitcoin (circa 235 euro al momento in cui scriviamo). Un conto alla rovescia di 40 ore scandisce il tempo prima dell'aumento del riscatto. Il messaggio e le istruzioni vengono mostrate all'utente in caratteri rossi su fondo nero, similmente a quanto avviene con NotPetya.

Il ricercatore Darien Huss della società di sicurezza Proofpoint ha dichiarato che Bad Rabbit si è diffuso tramite un installer fasullo di Adobe Flash Player. Anche i ricercatori di Kaspersky confermano questo dettaglio, aggiungendo che l'agente che consegna il malware è stato distribuito tramite siti legittimi disseminati però di elementi compromessi. Secondo le informazioni disponibili Bad Rabbit cerca di diffondersi anche sulla rete locale a cui è collegato il sistema infetto, sfruttando il protocollo SMB e usando Mimikatz.

Dalle analisi del ricercatore Christiaan Beek di McAfee invece si evince come Bad Rabbid vada a criptare vari file di uso comune, come .doc, .docx, .jpg e via discorrendo. Bad Rabbit contiene inoltre alcuni riferimenti a Game of Thrones, in particolare i nomi dei tre draghi Drogon, Rhaegal e Viserion, e al film Hackers del 1995: nell'elenco di credenziali di default che il malware usa sui sistemi presi di mira ci sono le password "love", "secret", "sex" e "god", ovvero le quattro password più comuni secondo quanto citato nel film.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy25 Ottobre 2017, 12:13 #1
ma ancora usa il baco di SMB?
non è patchato da mesi pure per XP?
Cappej25 Ottobre 2017, 13:01 #2
Per chi lo ha patchato, magari si...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^