Bad Rabbit, un attacco ransomware che si pensa essere una nuova variante di Petya, ha colpito ieri sera una serie di organizzazioni in Russia e in Ucraina.
I ricercatori di cybersecurity di Eset sono tra coloro che stanno controllanto l’attacco e hanno identificato il ransomware che crittografa alcuni computer come Diskcoder.D – una nuova variante del ransomware conosciuta anche come Petya, una forma particolarmente insidiosa di malware di crittografia dei file che ha colpito le organizzazioni di tutto il mondo lo scorso mese di giugno.
Secondo alcuni ricercatori di Eset il ransomware potrebbe essere stato diffuso da un falso aggiornamento Flash utilizzando EternalBlue, lo stesso exploit NSA che ha aiutato la diffusione di WannaCry e Petya.
EternalBlue sfrutta una versione del protocollo di rete di Windows Server Message Block (SMB) per diffondersi attraverso le reti.
Bad Rabbit utilizza anche lo strumento Mimikatz come trojan per estrarre credenziali dai sistemi interessati.
I ricercatori di Kaspersky Lab dicono che con il ransomware Bad Rabbi; le vittime vengono inviate a una pagina con lo stesso titolo su Tor per pagare un riscatto di 0,05 Bitcoin (286 dollari) per ottenere l’accesso ai propri file. La nota dispone anche di un timer che conteggia poco più di 40 ore.
I ricercatori notano inoltre che Bad Rabbit utilizza i metodi di attacco simili all’attacco di giugno di Petya, ma non hanno ancora confermato un legame con l’attacco precedente, o se ha la capacità di diffondersi ampiamente.
Come fermare Bad Rabbit
Vari fornitori di sicurezza dicono che i loro prodotti proteggono da Bad Rabbit.
Per coloro che vogliono essere sicuri di non essere potenzialmente vittime dell’attacco, Kaspersky Lab suggerisce che gli utenti possono bloccare l’esecuzione dei file
c:\windows\infpub.dat
C:\Windows\cscc.dat
al fine di prevenire l’infezione.
Anche Sophos sta monitorando gli sviluppi dell’attacco. Chester Wisniewski, principal research scientist di Sophos ha osservato che “Era solo questione di tempo prima che qualcuno sfruttasse le idee alla base di WannaCry e NotPetya per colpire di nuovo. Il ransomware chiamato Bad Rabbit colpisce attraverso un fake Adobe Flash Player installer.Ciò che rende questo malware così pericoloso rispetto ad un qualunque ransomware, è la velocità con cui si propaga attraverso allegati di email o plugin web vulnerabili. I primi indizi fanno pensare che contenga lo stesso strumento di password stealing di NotPetya, consentendo così di paralizzare qualunque azienda in pochissimo tempo”. Al momento, Sophos Anti Virus rileva questa variazione come Troj/Ransom-ERK.
Come difendersi? I consigli di Sophos. Tenere aggiornati i software scaricando le ultime patch. Effettuare backup regolarmente e prevedere un backup non collegato alla rete. Ci sono una dozzina di modi in cui un ransomware può cancellare i dati in pochi secondi, come in caso di incendio, furto del device o perfino cancellazione accidentale. Cifrare il backup per evitare che finisca in mani sbagliate. Solo una difesa a più strati può garantire reale protezione soluzione. I criminali cercano costantemente di trovare le falle nei prodotti di sicurezza, aggiungendo più livelli di protezione si rende la probabilità di attacco più bassa.
Secondo Check Point Software le aziende devono essere in grado di prevenire le infezioni da subito, eseguendo la scansione, bloccando e filtrando i contenuti sospetti prima che questi arrivino alle reti e inizino a codificare i file. Yaniv Balmas, Security Research Group Manager di Check Point Software, in particolare considera che questo ransomware imita il malware originale di Petya, ma somiglia molto di più alla successiva versione NotPetya. Il ransomware si muove lateralmente per poi diffondersi all’interno dell’azienda colpita: «Anche se fonti generiche parlano di utilizzo dell’exploit Eternal Blue, non riusciamo ancora a trovare alcun riferimento a questo nel codice del ransomware».
Pare che il ransomware sia stato inizialmente diffuso con la modalità drive-by-download tramite annunci pubblicitari in siti web popolari. Finora è stato identificato un solo sito, ma ce ne potrebbero essere altri che non sono stati ancora individuati. Infine, il ransomware integra uno strumento commerciale capace di crittografare i file di sistema.
Per Paolo Arcagni, System Engineer Manager di F5 Networks, l’attacco inon viene rilevato dalle soluzioni anti-virus più diffuse e questo fa sì che gli utenti possano essere infettati senza saperlo. «Le prime analisi effettuate indicano che lo script del malware, dopo aver identificato gli utenti da colpire, si presenta come un prompt aggiornato di un bug di Adobe Flash. Quando l’utente lo accetta, viene scaricato il malware e parte l’esecuzione dell’attacco con crittografia».
Purtroppo il ransomware è difficile da prevenire totalmente e non esiste una soluzione definitiva che protegga da questo tipo di attacco. I metodi migliori attualmente disponibili includono l’attenzione a effettuare backup affidabili ospitati al di fuori della rete aziendale e a prevedere un piano di risposta aggiornato. Inoltre, le organizzazioni devono dotarsi di sistemi come SSL per ispezionare i dispositivi. È importante anche filtrare e monitorare le email per gli attacchi di phishing, ripulire il traffico crittografato che potrebbe nascondere software dannoso e ridurre e limitare i privilegi amministrativi per contenere danni derivanti da un account compromesso.
