Bad Rabbit: un altro ransomware vede la luce

La crescita del prezzo delle crytovalute, specialmente del Bitcoin, sembra non arrestarsi: in soli tre mesi (luglio-ottobre 2017) ha raddoppiato il suo valore; quindi, è inevitabile che ci sia un aumento della comparsa di nuovi ransomware sulla scena informatica mondiale. È il caso di Bad Rabbit, il nuovo malware che si sta diffondendo dalla Russia e l’Ucraina, e che ha interessato anche la Germania e la Turchia.

L’attacco sembra essere diretto a enti pubblici e agenzie stampa. I primi rilevamenti sono stati riscontrati all’azienda di trasporti della metropolitana di Kiev e all’aeroporto di Odessa. Al momento, l’attacco hacker ha fatto contare più di 200 vittime.

Bad Rabbit è un vero ransomware

Il ransomware Bad Rabbit arriva dall'est Europa e si diffonde tramite una tecnica antiquata, molto usata in passato dai pirati informatici.
Schema del funzionamento di un ransomware. Credits: www.imperva.com

A differenza del suo predecessoreNotPetya, diffusosi lo scorso giugno, Bad Rabbit è un ransomware vero e proprio in quanto cifra i dati e poi chiede un riscatto in Bitcoin (circa 250-300 euro) in cambio della decrittazione dei dati. Una volta pagata la cifra richiesta dagli hacker, questi restituiscono l’accesso ai propri dati.

Nonostante questa fondamentale differenza, il nuovo ransomware ha lo stesso modus operandi del “NotPetya”, ma soprattutto, è programmato per colpire tutti i computer a cui riesce ad accedere attraverso la rete locale.

Un singolo utente mette in pericolo l’intera rete

Il ransomware Bad Rabbit arriva dall'est Europa e si diffonde tramite una tecnica antiquata, molto usata in passato dai pirati informatici.
Curiosità: I creatori di Bad Rabbit sembrano essere amanti della serie TV “Il Trono di Spade”. Credits: www.zdnet.com

La cosa più sorprendente di Bad Rabbit è che sfrutta una tecnica piuttosto antiquata, usata centinai di volte in passato dagli hacker. Secondo i ricercatori di Kaspersky Lab e Avira Protection Services, questo malware impiega il drive-by-attack, cioè la diffusione attraverso un banner pubblicitario infetto o un sito compromesso.

Il virus, infatti, si maschera da finto Flash Player, programma che viene richiesto in alcuni casi per la visualizzazione dei contenuti e che gli utenti scambiano con degli aggiornamenti software. L’effettività di questo tipo di attacco sussiste in quanto molte persone ancora ci cliccano.

Bad Rabbit sfrutta il servizio SMB (Server Message Block), lo stesso utilizzato da “NotPetya”, invece di utilizzare la vulnerabilità EternalBlue come faceva WannaCry, l’altro famoso ransomware, diffusosi a maggio scorso.

Il ransomware Bad Rabbit arriva dall'est Europa e si diffonde tramite una tecnica antiquata, molto usata in passato dai pirati informatici.
Pagina web Tor con il messaggio del ransomware. Credits: www.gbhackers.com

Una volta infestato un singolo utente, il virus si diffonde su tutti i computer collegati alla rete locale e inizia l’attacco usando un sistema crittografico funzionante che sfrutta un modulo derivato da DiskCrytor, uno strumento crittografico open source accessibile sul web.

Dopo aver cifrato i dati, il malware lancia un messaggio di errore e tramite una pagina web su circutio Tor, assegna un codice alla vittima e un link sul quale effettuare il pagamento: più passa il tempo e più aumenta la cifra da pagare.

Come combattere il ransomware

Il primo consiglio che sorge spontaneo è quello della prevenzione: bisogna sempre evitare di scaricare software da siti web o store non ufficiali, soprattutto in questo momento in cui stanno rivedendo la luce delle tecniche credute ormai obsolete.

Il ransomware Bad Rabbit arriva dall'est Europa e si diffonde tramite una tecnica antiquata, molto usata in passato dai pirati informatici.
Post Twitter del ricercatore Amit Serper

Il ricercatore di sicurezza informatica Amit Serper della Cybereason di Boston, USA, ha scritto sul suo account Twitter che esiste un “vaccino” per evitare l’attacco da ransomware. Questo vaccino consiste nel creare un file .dat e nel rimuovere tutti i permessi di scrittura su di esso. Anche se ancora in fase di testing ma sembra essere una buona soluzione.