È la terza grande epidemia dell'anno: ecco cosa sappiamo finora.
Una nuova campagna ransomware ha colpito una serie di obiettivi di alto profilo in Russia e nell’Europa orientale.
Soprannominato Coniglio Cattivo, il ransomware ha iniziato a infettare i sistemi martedì 24 ottobre, e il modo in cui le organizzazioni sembrano essere state colpite simultaneamente ha immediatamente fatto paragoni con quello di quest'anno Voglio piangere E Petya epidemie.
In primo piano
- Windows 10 è troppo popolare per il suo bene?
- 5 modi per trovare il posto migliore per iniziare la tua carriera
- Ecco come l’intelligenza artificiale generativa cambierà in meglio la gig economy
- 3 motivi per cui preferisco questo Android da $ 300 rispetto al Pixel 6a di Google
Dopo lo scoppio iniziale, c'è stata una certa confusione su cosa sia esattamente Bad Rabbit. Ora che il panico iniziale si è calmato, è possibile però scavare più a fondo in quello che sta succedendo esattamente.
1. L’attacco informatico ha colpito organizzazioni in tutta la Russia e l’Europa orientale
Le organizzazioni in Russia e Ucraina – così come un piccolo numero in Germania e Turchia – sono cadute vittime di questo ransomware. I ricercatori di Avast affermano di aver rilevato il malware anche in Polonia e Corea del Sud.
La società russa di sicurezza informatica Group-IB ha confermato che almeno tre organizzazioni mediatiche nel paese sono state colpite da malware per la crittografia dei file, mentre nello stesso momento in cui l'agenzia di stampa russa Interfax ha affermato che i suoi sistemi sono stati colpiti da un "attacco hacker" - e apparentemente sono stati messi offline dal incidente.
Anche altre organizzazioni nella regione, tra cui l'aeroporto internazionale di Odessa e la metropolitana di Kiev, hanno dichiarato di essere vittime di un attacco informatico, mentre CERT-UA, la squadra di risposta alle emergenze informatiche dell'Ucraina, ha anche affermato che "il possibile inizio di una nuova ondata di si sono verificati attacchi informatici alle risorse informative dell'Ucraina", così come hanno iniziato a verificarsi segnalazioni di infezioni da Bad Rabbit Si accomodi.
Nel momento in cui scrivo, si pensa che ci siano quasi 200 obiettivi infetti e indicando che questo non è un attacco come lo sono stati WannaCry o Petya, ma sta comunque causando problemi alle organizzazioni infette.
"La prevalenza totale dei campioni conosciuti è piuttosto bassa rispetto agli altri ceppi "comuni"", ha affermato Jakub Kroustek, analista di malware presso Avast.
2. È sicuramente un ransomware
Quelli abbastanza sfortunati da cadere vittime dell'attacco si sono resi conto rapidamente di cosa era successo perché il ransomware non è subdolo: presenta vittime con una richiesta di riscatto che dice loro che i loro file "non sono più accessibili" e "nessuno sarà in grado di recuperarli senza la nostra decrittazione servizio".
Nota di riscatto di Bad Rabbit.
Le vittime vengono indirizzate a una pagina di pagamento Tor e viene loro presentato un timer per il conto alla rovescia. Paga entro le prime 40 ore circa, gli viene detto, e il pagamento per decriptare i file è di 0,05 bitcoin, circa $ 285. A coloro che non pagano il riscatto prima che il timer raggiunga lo zero viene detto che la tariffa aumenterà e che dovranno pagare di più.
Pagina di pagamento di Bad Rabbit.
La crittografia utilizza DiskCryptor, un software open source legittimo utilizzato per la crittografia completa dell'unità. Le chiavi vengono generate utilizzando CryptGenRandom e quindi protette da una chiave pubblica RSA 2048 codificata.
3. È basato su Petya/Non Petya
Se la richiesta di riscatto vi sembra familiare, è perché è quasi identica a quella vista dalle vittime dell'epidemia di Petya di giugno. Le somiglianze non sono solo estetiche: Bad Rabbit condivide anche elementi dietro le quinte con Petya.
L'analisi dei ricercatori di Crowdstrike ha rilevato che la DLL (libreria di collegamento dinamico) di Bad Rabbit e NotPetya condivide il 67% dello stesso codice, il che indica che le due varianti di ransomware sono strettamente correlate e potenzialmente sono addirittura opera della stessa minaccia attore.
4. Si diffonde tramite un falso aggiornamento Flash su siti Web compromessi
Il modo principale in cui Bad Rabbit si diffonde sono i download drive-by su siti Web compromessi. Non vengono utilizzati exploit, ma piuttosto visitatori di siti Web compromessi, alcuni dei quali che sono compromessi da giugno - viene detto che devono installare un aggiornamento Flash. Naturalmente, questo non è un aggiornamento Flash, ma un contagocce per l'installazione dannosa.
Un sito Web compromesso che chiede a un utente di installare un falso aggiornamento Flash che distribuisce Bad Rabbit.
I siti web infetti, per lo più con sede in Russia, Bulgaria e Turchia, vengono compromessi inserendo JavaScript nel loro corpo HTML o in uno dei loro file .js.
5. Può diffondersi lateralmente attraverso le reti...
Proprio come Petya, Bad Rabbit ha un potente asso nella manica in quanto contiene una SMB componente che gli consente di spostarsi lateralmente attraverso una rete infetta e di propagarsi senza utente interazione, affermano i ricercatori di Cisco Talos.
Ciò che aiuta la capacità di Bad Rabbit di diffondersi è un elenco di semplici combinazioni di nome utente e password che può sfruttare per farsi strada attraverso le reti con la forza bruta. L'elenco delle password deboli è costituito da una serie di soliti sospetti di password deboli come semplici combinazioni di numeri e "password".
6... ma non utilizza EternalBlue
Sicurezza
- 8 abitudini dei lavoratori remoti altamente sicuri
- Come trovare e rimuovere spyware dal telefono
- I migliori servizi VPN: come si confrontano i primi 5?
- Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo
Quando Bad Rabbit apparve per la prima volta, alcuni suggerirono che, come WannaCry, sfruttasse l'exploit EternalBlue per diffondersi. Tuttavia, questo ora non sembra essere il caso.
"Al momento non abbiamo prove che l'exploit EternalBlue venga utilizzato per diffondere l'infezione", ha detto a ZDNet Martin Lee, responsabile tecnico per la ricerca sulla sicurezza presso Talos.
7. Potrebbe non essere indiscriminato
Nello stesso periodo successivo all’epidemia di WannaCry, centinaia di migliaia di sistemi in tutto il mondo sono caduti vittime di ransomware. Tuttavia, Bad Rabbit non sembra infettare indiscriminatamente obiettivi, piuttosto i ricercatori hanno suggerito che infetti solo obiettivi selezionati.
"Le nostre osservazioni suggeriscono che si sia trattato di un attacco mirato contro le reti aziendali", ha affermato Ricercatori di Kaspersky Lab.
Nel frattempo, ricercatori dell’ESET affermano che le istruzioni nello script inserito nei siti Web infetti "possono determinare se il visitatore è di interesse e quindi aggiungere contenuto alla pagina" se l'obiettivo è ritenuto idoneo all'infezione.
Tuttavia, in questa fase, non vi è alcuna ragione evidente per cui le organizzazioni e le infrastrutture dei media in Russia e Ucraina siano state specificamente prese di mira in questo attacco.
8. Non è chiaro chi ci sia dietro
Al momento non si sa ancora chi stia distribuendo il ransomware o perché, ma la somiglianza con Petya ha portato alcuni ricercatori a suggerire che Bad Rabbit sia di stesso gruppo di aggressori, anche se ciò non aiuta a identificare né l'aggressore né il movente, perché l'autore dell'epidemia di giugno non è mai stato identificato.
Ciò che distingue questo attacco è il modo in cui ha infettato principalmente i criminali informatici della Russia, dell’Europa orientale Le organizzazioni tendono ad evitare di attaccare la "madrepatria", il che indica che difficilmente si tratta di un russo gruppo.
9. Contiene riferimenti a Game of Thrones
Chiunque sia dietro Bad Rabbit, sembra essere un fan Game of Thrones: il codice contiene riferimenti a Viserion, Drogon e Rhaegal, i draghi presenti nelle serie televisive e nei romanzi da cui è basata. Gli autori del codice quindi non stanno facendo molto per cambiare l'immagine stereotipata degli hacker come geek e nerd.
Riferimenti ai draghi di Game of Thrones nel codice.
10. Puoi proteggerti dal rischio di essere infettato da esso
In questa fase, non è noto se sia possibile decrittografare i file bloccati da Bad Rabbit senza arrendersi e pagare il riscatto - anche se i ricercatori sostengono che coloro che ne sono vittime non dovrebbero pagare la tariffa, poiché ciò non farebbe altro che incoraggiare la crescita del ransomware.
Numerosi fornitori di sicurezza affermano che i loro prodotti proteggono da Bad Rabbit. Ma per coloro che vogliono essere sicuri di non cadere potenzialmente vittime dell'attacco, dicono gli utenti di Kaspersky Lab può bloccare l'esecuzione del file 'c:\windows\infpub.dat, C:\Windows\cscc.dat.' al fine di prevenire infezione.
Copertura precedente
Ransomware Bad Rabbit: una nuova variante di Petya si sta diffondendo, avvertono i ricercatori
Aggiornamento: organizzazioni in Russia, Ucraina e altri paesi sono cadute vittime di quella che si ritiene sia una nuova variante di ransomware.
LEGGI DI PIÙ SUL RANSOMWARE
- Dopo WannaCry, il ransomware peggiorerà prima di migliorare
- Ransomware: una guida esecutiva a una delle più grandi minacce sul Web
- 6 consigli per evitare i ransomware dopo Petya e WannaCry (Repubblica Tecnologica)
- La tua incapacità di applicare aggiornamenti critici per la sicurezza informatica sta mettendo a rischio la tua azienda a causa del prossimo WannaCry o Petya
- Come proteggersi dal ransomware WannaCry (CNET)