BadRabbit, cosa sapere sull’ultimo virus del riscatto

BadRabbit, cosa sapere sull’ultimo virus del riscatto

L’infezione globale di ransomware che colpisce le aziende ha molte somiglianze c

Il “coniglio cattivo” non è proliferato come si temeva all’inizio. Ma l’ultima infezione globale di virus del riscatto, nota come BadRabbit, ha comunque spaventato, se non altro perché ha ricalcato in parte le orme di precedenti software malevoli, come NotPetya, che colpì lo scorso giugno a un solo un mese dallo choc di Wannacry. E poi perché ha mostrato ancora una volta come una singola campagna di ransowmare – i virus che cifrano i file dei pc e chiedono un riscatto per consegnare la chiave di decifrazione – possa avere un impatto forte, fisico, sull’economia e le infrastrutture dei singoli Paesi colpiti. BadRabbit ha imperversato (finora) solo in alcuni Paesi – Russia e Ucraina soprattutto – con poche centinaia di infezioni, ma la lezione che lascia vale un po’ per tutti. Ovvero che le campagne globali di ransomware, confezionate per propagarsi dentro aziende e organizzazioni, non sono finite, anzi continuano a evolversi e innovare. Senza nemmeno dover sfruttare rare vulnerabilità del software.

 

 Cosa è e da dove nasce BadRabbit

 

BadRabbit è il nome che è stato dato a una nuova variante di ransomware che ha iniziato a essere rilevata dal 24 ottobre in Russia, dove sono avvenute la maggior parte delle infezioni. Altri Paesi colpiti, a molta distanza dal primo posto sul podio, sono stati Ucraina, Giappone, Bulgaria, Turchia, Germania. La lista e le percentuali variano a seconda delle società che hanno rilevato gli attacchi; ma concordano tutti sul fatto che la Russia sia stato l’epicentro.

Da notare che già il 12 ottobre l’intelligence ucraina avvisava del rischio di una imminente campagna di attacchi, simile a quella di NotPetya. Che sarebbe stata diretta soprattutto contro le aziende. In questi giorni l’unità di risposte alle emergenze cyber dell’Ucraina (il CERT-UA) ha confermato una “distribuzione massiccia” di BadRabbit nel Paese. E ha riferito di “cyberattacchi” alla metro di Kiev e all’aeroporto di Odessa, senza però specificare se si trattasse anche in quel caso del ransomware.

La diffusione e propagazione

Ma come si è diffuso concretamente il software malevolo (malware)? Attraverso dei siti web esistenti, precedentemente compromessi dagli attaccanti, che li hanno poi usati per far scaricare il malware agli ignari visitatori con un falso aggiornamento di Flash, il noto software Adobe per i contenuti multimediali. Un metodo di infezione che sfrutta l’abitudine degli utenti a vedere comparire messaggi di questo tipo, con l’invito ad aggiornare un programma legittimo; solo che in tal caso stanno invece scaricando un malware. Tra i siti colpiti vari organi di informazione russi, come Interfax e Fontanka.ru. Altro dato significativo: tutti i siti (o almeno, tutti quelli scovati dai ricercatori) che hanno trasmesso l’infezione erano media o siti di notizie, riferisce la società di sicurezza Kaspersky. I siti compromessi (a loro insaputa, ovviamente) reindirizzavano verso un dominio (come 1dnscontrol[dot]com) da cui avveniva il download.

Una volta sul computer della vittima, il malware fa due cose. Cifra i file e lascia un messaggio per pagare il riscatto, che andrà versato in bitcoin, la nota moneta elettronica (chiedono 0,05 bitcoin circa 280 dollari) dopo aver visitato un sito nel Dark Web (un indirizzo .onion, su rete Tor), che sfoggia anche un conto alla rovescia. Le vittime avrebbero 40 ore di tempo per pagare anche se non è chiaro cosa succeda dopo (dovrebbe aumentare il riscatto).

Oksystems

L’altra caratteristica di BadRabbit è il modo in cui si diffonde ulteriormente, una volta arrivato su una macchina attraverso il download del finto aggiornamento Flash di cui si diceva. Si diffonde nella rete locale usando un protocollo di rete (SMB) e un software (Mimikatz) per estrarre le password dalla macchina infetta e provarla su altre; oppure tenta un attacco a forza bruta, cioè cerca di indovinare le credenziali (spesso deboli) dei dispositivi condivisi in rete. Tutto ciò permette a BadRabbit di propagarsi su reti aziendali e di grosse organizzazioni. Una delle caratteristiche più rilevanti di questo malware, nota Symantec, è proprio la capacità di sfruttare comuni strumenti open-source. Inizialmente la maggior parte dei ricercatori pensavano non utilizzasse nessun codice di attacco (exploit) particolare per diffondersi. Tuttavia successivamente due aziende, Cisco Talos e FSecure, hanno rilevato l’utilizzo di un exploit, già usato da NotPetya, anche se modificato (si tratta di EternalRomance, ed è uno degli strumenti di attacco sottratti alla Nsa).

 

Differenze e somiglianze tra Bad Rabbit e NotPetya

Ci sono somiglianze tra Bad Rabbit e NotPetya. Innanzitutto nel codice e nelle tecniche di diffusione sulla rete aziendale, come rilevato da vari ricercatori e società di sicurezza. Ancora più interessante è la lista di domini hackerati con cui è stato iniziato l’attacco, che ha molte somiglianze con i domini già visti in NotPetya; addirittura alcuni erano stati compromessi già a giugno ma non utilizzati. Tutto questo fa pensare ad alcuni (ad esempio a Kaspersky ) che dietro a NotPetya e Bad Rabbit ci sia lo stesso attore. E che questa infezione fosse pronta da luglio.

 

Ci sono però anche differenze. NotPetya (nota anche come ExPetr, e altri nomi) si era diffuso in Russia, Ucraina ma anche Paesi europei e Stati Uniti; aveva colpito soprattutto aziende di telecomunicazioni, industrie dell’energia; usava come vettore di infezione iniziale il meccanismo di aggiornamento (compromesso) di un software per attività contabili sviluppato da un’azienda ucraina (MeDoc); sfruttava due codici di attacco, exploit, della Nsa; e aveva come obiettivo la distruzione dei dati (non decifrava comunque). Invece BadRabbit ha colpito (finora) soprattutto in Russia, Ucraina, Bulgaria; più aziende media e di trasporti; attraverso siti compromessi; senza exploit (in realtà a quanto pare un exploit è stato usato, ndr) ; e sembra avere come obiettivo anche l’estorsione (e non solo la distruzione). Anche se potrebbe essere usato anche come una copertura per altro, nota il ricercatore Bart Blaze, che ha raccolto tutte le differenze e somiglianze dei due malware. Aggiungendo di ritenere le due infezioni strettamente collegate, forse sviluppate da una parte dello stesso gruppo.

 

Che fare e altre informazioni tecniche

Esiste un modo per “vaccinare” preventivamente un computer in modo da rendere inefficace la cifratura, viene descritto qua e qua. Anche l’unità di risposta alle emergenze cyber della Pubblica amministrazione italiana, il nostro Cert-PA, ha emesso un avviso al riguardo. In Italia al momento non sono state riportate particolari segnalazioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *