News 5

Bad Rabbit, ransomware simile a Petya si diffonde in Russia ed Est Europa

Si sta abbattendo in Russia e nell'Est Europeo una nuova campagna ransomware che pare avere legami con Petya e le varianti ExPetr/NotPetya: colpite varie realtà tra cui l'aeroporto di Odessa e la metropolitana di Kiev

rabbit

Diverse società dedicate alla sicurezza informatica avvertono dell'abbattersi di un nuovo flagello-ransomware in Russia e nell'Est Europeo. C'è ancora incertezza su chi vi sia dietro l'attacco, chi siano tutte le vittime, come il malware si stia diffondendo o chi l'abbia originato, anche se numerosi frammenti di informazione aiutano a costruire un quadro di riferimento.

Il malware viene denominato Bad Rabbit e avrebbe colpito, secondo quanto noto fino ad ora, diverse realtà russe legate al mondo dell'informazione e delle notizie tra le quali l'agenzia stampa Interfax e Fontanka. Group-IB, società di sicurezza russa, ha dichiarato che Bad Rab

bit, probabilmente collegato con Petya, è protagonista di un'ondata di attacchi che ha preso di mira anche l'aeroporto di Odessa, la metropolitana di Kiev e il Ministero delle Infrastrutture ucraino.

Bad Rabbit, ransomware simile a Petya si diffonde in Russia ed Est Europa

Vyacheslav Zakorzhevsky, portavoce per Kaspersky Lab, ha dichiarato: "Secondo le informazioni in nostro possesso la maggior parte delle vittime prese di mira da questi attacchi sono situate in Russia. Abbiamo visto altri attacchi simili, ma in minor numero, in Ukraina, Turchia e Germania. Questo ransomware infetta dispositivi tramite alcuni siti web compromessi di media russi. Sulla base delle nostre indagini si tratta di un attacco che prende di mira le reti corporate, usando metodi simili a quelli usati durante l'attacco ExPetr/NotPetya. Non possiamo comunque confermare che sia legato ad esso.

Anche la società di sicurezza ESET, con base in Repubblica Ceca, sospetta che vi sia qualche attinenza con il malware che si è diffuso in Ucraina nel corso dell'estate. Sul proprio blog ESET afferma che, almeno nel caso della metropolitana di Kiev, il malware rilevato è una variante del ransomware Petya, laddove NotPetya era essa stessa una variante di Petya. ESET ha dichiarato di aver rilevato centinaia di infezioni.

Quando Bad Rabbit infetta un sistema, richiede alle vittime di registrarsi ad un servizio occultato con Tor e corrispondere un pagamento di 0,05 bitcoin (circa 235 euro al momento in cui scriviamo). Un conto alla rovescia di 40 ore scandisce il tempo prima dell'aumento del riscatto. Il messaggio e le istruzioni vengono mostrate all'utente in caratteri rossi su fondo nero, similmente a quanto avviene con NotPetya.

huss

 

Il ricercatore Darien Huss della società di sicurezza Proofpoint ha dichiarato che Bad Rabbit si è diffuso tramite un installer fasullo di Adobe Flash Player. Anche i ricercatori di Kaspersky confermano questo dettaglio, aggiungendo che l'agente che consegna il malware è stato distribuito tramite siti legittimi disseminati però di elementi compromessi. Secondo le informazioni disponibili Bad Rabbit cerca di diffondersi anche sulla rete locale a cui è collegato il sistema infetto, sfruttando il protocollo SMB e usando Mimikatz.

beek

Dalle analisi del ricercatore Christiaan Beek di McAfee invece si evince come Bad Rabbid vada a criptare vari file di uso comune, come .doc, .docx, .jpg e via discorrendo. Bad Rabbit contiene inoltre alcuni riferimenti a Game of Thrones, in particolare i nomi dei tre draghi Drogon, Rhaegal e Viserion, e al film Hackers del 1995: nell'elenco di credenziali di default che il malware usa sui sistemi presi di mira ci sono le password "love", "secret", "sex" e "god", ovvero le quattro password più comuni secondo quanto citato nel film.

  Fonte: HwUpgrade

Questo sito utilizza Cookies per migliorare l'esperienza di navigazione e mostrarti servizi in linea con le tue preferenze. Disabilitando i cookie alcuni dei nostri servizi potrebbero non funzionare e alcune pagine non essere visualizzate correttamente. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento, acconsenti all'uso dei Cookies. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni Cookies visualizza l'informativa completa. Cookies Policy.

Accetto i Cookies