Nuova massiccia campagna di diffusione ransomware “BAD RABBIT”

  • 26 ottobre 2017
Nuova massiccia campagna di diffusione ransomware “BAD RABBIT”

Secondo gli esperti, questa campagna presenta notevoli somiglianze con quella del ransomware Petya/(not)Petya che ha colpito anche l’Europa lo scorso Giugno. Come il suo predecessore, anche Bad Rabbit colpisce prevalentemente reti aziendali. Al momento si ha notizia di attacchi a più di 200 aziende in diversi paesi nel mondo, prevalentemente in Russia, Ucraina, Germania, Giappone, e Turchia.

Apparentemente la campagna in corso non sfrutta exploit di vulnerabilità note di apparati di rete e protocolli per diffondere il malware, ma si basa prevalentemente su attacchi drive-by che inducono le vittime a scaricare falsi installer di Adobe Flash Player da siti Web di informazione compromessi. Una volta infettata una macchina, il malware Bad Rabbit è in grado di diffondersi lateralmente sfruttando il protocollo SMB. Bad Rabbit non sfrutta l’exploit EternalBlue, già utilizzato in altre recenti campagne, ma effettua scansioni della rete alla ricerca di particolari condivisioni SMB alle quali tenta di accedere utilizzando credenziali raccolte sulla macchina locale tramite il tool open source Mimikatz, più altre codificate al suo interno.

La funzionalità di cifratura di Bad Rabbit è implementata mediante il software open source DiskCryptor e utilizza una combinazione degli algoritmi crittografici AES-128 e RSA-2048. Ai file cifrati viene aggiunta l’estensione “.encrypted”.

I cybercriminali responsabili della campagna Bad Rabbit richiedono alle loro vittime la somma di 0,05 bitcoin (circa 235€) per sbloccare i PC infetti e riottenere l’accesso ai propri file. Questo ransomware mostra sullo schermo del computer il messaggio illustrato in figura.

Le fonti citate contengono un’analisi più dettagliata di Bad Rabbit, inclusi svariati indicatori di compromissione (IoC). Il tasso di rilevazione di Bad Rabbit da parte dei più diffusi antivirus risulta già molto elevato.

Aggiornamento

Fonti esterne suggeriscono che è possibile mitigare gli attacchi di Bad Rabbit creando preventivamente un file chiamato “infpub.dat” nella cartella “C:\Windows” e rendendolo accessibile in sola lettura (alcuni esperti suggeriscono di creare anche il file “cscc.dat”). In caso di infezione, questo accorgimento renderebbe inefficace il malware, bloccando la cifratura dei file.

Fonte: www.certnazionale.it

Hai paura di essere in pericolo? Contattaci 

Contattaci per maggiori informazioni!

*
*

Termini e condizioni di utilizzo: privacy policy di Project Informatica