25/10/2017 di Redazione

Sicurezza, il coniglietto cattivo è uscito dalla tana

Un nuovo ransomware, noto come Bad Rabbit e forse legato a Notpetya, si è diffuso in Russia e Ucraina grazie a una serie di siti compromessi, che spingono l’utente a scaricare un finto aggiornamento di Flash Player. La minaccia ha colpito anche la metropo

immagine.jpg

Cosa si ottiene inserendo un coniglietto cattivo nella trama di Game of Thrones? Un nuovo e potenzialmente letale ransomware. Nella serata di ieri le principali società di cybersecurity hanno iniziato a ricevere allarmi da Ucraina e Russia sulla diffusione di una nuova minaccia, molto probabilmente collegata al programma maligno Notpetya (o Expetr), che la scorsa estate ha scatenato il panico nelle reti di mezzo mondo. Il ransomware è stato rinominato Bad Rabbit e al momento ha già colpito realtà come la metropolitana e il Ministero delle Infrastrutture di Kiev, oltre all’agenzia di stampa russa Interfax. Ma sembra che la minaccia sia ormai arrivata anche in Germania e Turchia. In merito a Bad Rabbit la stessa Kaspersky ha fatto sapere che il “ransomware infetta i dispositivi attraverso diversi siti di news russi hackerati. Secondo i nostri dati, si tratta di un attacco mirato contro network aziendali, che usa metodi simili a quelli sfruttati da Expetr. Tuttavia, non possiamo confermare che sia legato a Expetr. Proseguiremo le nostre indagini”.

Come sottolineato anche da Eset, infatti, il ransomware si propaga con un metodo noto come “drive-by download”: siti popolari vengono compromessi dagli hacker con codice Javascript iniettato direttamente nell’Html. La risorsa infetta è in grado di capire lato server se l’utente può essere attaccato e, in automatico, aggiunge il contenuto maligno alla pagina. Il risultato è un popup che chiede alla potenziale vittima di aggiornare Flash Player.

Una volta fatto click sul pulsante “Installa” viene avviato il download di un eseguibile (install_flash_player.exe), che altro non è che il dropper del ransomware, identificato con il nome Win32/Filecoder.D. A questo punto il blocco del computer è istantaneo, i file vengono cifrati e compare un messaggio che informa l’utente sulla procedura da seguire per rientrare in possesso della macchina.

Il riscatto consiste nel pagamento di 0,05 bitcoin, al cambio attuale circa 235 euro, da versare su un dominio Tor. La schermata mostra anche un timer che avverte sul tempo rimanente prima che il prezzo salga, all’incirca 40 ore. Le società di sicurezza stanno testando l’esito della procedura e un ricercatore ha fatto sapere su Twitter di essere riuscito a sbloccare i file. Bad Rabbit, quindi, a differenza di Expetr non sembrerebbe un wiper: un malware che effettivamente rende inutilizzabile i dischi dei computer.

 

Credits: Eset

 

Al momento il programma maligno avrebbe mietuto duecento vittime, ma il numero esatto è difficile da stabilire. Sulla pagina We Live Security di Eset è stata pubblicata una lista di tutti i siti compromessi. Per evitare che un’eventuale infezione si propaghi nella rete aziendale (anche se basterebbe non navigare sui portali indicati e non scaricare il dropper) si deve interrompere l’esecuzione di c:windowsinfpub.dat e c:Windowscscc.dat e disabilitare il servizio Wmi (Windows Management Instrumentation).

A differenza di Notpetya, chiarisce però Eset, Bad Rabbit non sfrutta alcuna vulnerabilità nota. Il ransomware spuntato a giugno era infatti riuscito a diffondersi su vasta scala grazie al bug insito nel protocollo Smb, tramite l’exploit di derivazione Nsa EternalBlue. Il nuovo programma maligno, pur avendo le capacità di propagarsi sfruttando Server Message Block, non si appoggia quindi a EternalBlue.

Chi si cela dietro la nuova minaccia? Al momento anche gli stessi vendor di sicurezza brancolano nel buio, ma è certo che gli autori siano dei fan di Game of Thrones, la popolare serie Tv fantasy di Hbo. Analizzando parti di codice del malware i ricercatori hanno scoperto dei chiari riferimenti al mondo di draghi e cavalieri ideato dallo scrittore George R. R. Martin.

 

ARTICOLI CORRELATI