Bad Rabbit Ransomware

Bad Rabbit è apparso per la prima volta nell’ottobre del 2017 prendendo di mira organizzazioni in Russia, Ucraina e Stati Uniti con un attacco che è fondamentalmente un nuovo e migliorato ransomware NotPetya. Le autorità ucraine attribuiscono Bad Rabbit a Black Energy, il gruppo di minacce che credono anche dietro NotPetya. Molti esperti di sicurezza credono che Black Energy operi nell’interesse e sotto la direzione del governo russo. L’attacco non è durato a lungo, indicando che i controllori lo hanno chiuso da soli.

L’attacco è iniziato tramite file su siti web di media russi violati, utilizzando il popolare trucco di ingegneria sociale di fingere di essere un installatore di Adobe Flash. Il ransomware richiede un pagamento di 0,05 bitcoin, o circa 275 dollari, dando alle vittime 40 ore per pagare prima che il riscatto salga.

bad-rabbit-ransomware-diskcoder

Questo è sostanzialmente NotPetya v2.0, con miglioramenti significativi rispetto alla versione precedente. Bad Rabbit ha molti elementi che si sovrappongono al codice di Petya/NotPetya, per cui possiamo assumere con un alto grado di certezza che gli autori dietro l’attacco siano gli stessi. Hanno anche cercato di comporre il loro payload maligno utilizzando elementi rubati, tuttavia, il kernel rubato di Petya è stato sostituito con un crypter per dischi più avanzato sotto forma di un driver legittimo.

In questa campagna attuale, i dati criptati sembrano essere recuperabili dopo aver pagato il riscatto, il che significa che questo attacco BadRabbit non è così distruttivo come NotPetya. Hanno risolto molti bug nel processo di crittografia dei file.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit prima cripta i file sul computer dell’utente e poi sostituisce il MBR (Master Boot Record). Questo significa che è necessario acquistare due chiavi, una per il bootloader e una per i file stessi. Questo fondamentalmente blocca la macchina. Maggiori informazioni tecniche su bleepingcomputer.

Come inoculare una macchina se il vostro software endpoint non blocca Bad Rabbit

  • Blocca l’esecuzione dei file c:\windows\infpub.dat e c:\Windows\cscc.dat.
  • Disabilitate il servizio WMI (se è possibile nel vostro ambiente) per evitare che il malware si diffonda nella vostra rete.

Qui ci sono istruzioni dettagliate se avete fretta.

Circa una settimana dopo l’attacco iniziale Bad Rabbit è stato scoperto essere una copertura per un attacco di ingegneria sociale più insidioso. Campagne di phishing mirate a un certo numero di entità ucraine hanno avuto lo scopo di compromettere le informazioni finanziarie e altri dati sensibili. Gli investigatori ritengono che l’autore di Bad Rabbit e della campagna di phishing secondaria siano gli stessi, con l’obiettivo dell’attacco secondario di ottenere un accesso non rilevato ben dopo che la campagna ransomware ha smesso di diffondersi.

“Mentre i cyber criminali diventano più intelligenti e sofisticati, è importante ricordare che gli attacchi non sono sempre quello che sembrano in superficie”, ha detto Ben Johnson, co-fondatore e chief technology officer di Obsidian Security, a International Business Times. NotPetya ha anche usato il ransomware come copertura per un attacco secondario, e questo probabilmente non è una coincidenza.

La tua rete è vulnerabile agli attacchi ransomware?

Lo scopri ora con il simulatore di ransomware “RanSim” di KnowBe4, ottieni i tuoi risultati in pochi minuti.

Prendi RanSim!
” Torna alla Ransomware Knowledgebase

Leave a Reply