Bad Rabbit, nuovo attacco ransomware in Europa

Dopo WannaCry e Petya, Kaspersky Lab, ESET e altre software house che sviluppano soluzioni di sicurezza hanno rilevato un terzo attacco ransomware in alcuni paesi europei, tra cui Russia, Ucraina, Turchia e Germania. Il nome attribuito al malware è Bad Rabbit e i principali bersagli sono le reti aziendali.

Al momento si segnalato attacchi contro Interfax e Fontanka in Russia, la metropolitana di Kiev, l’aeroporto di Odessa e il Ministero delle Infrastrutture in Ucraina, ma altri target sono situati anche in Turchia e Germania per un totale di circa 200. La distribuzione del ransomware avviene sfruttando la tecnica “drive-by-download". Su alcuni popolari siti web, infettati con un codice JavaScript, viene visualizzato un pop-up che suggerisce all’ignara vittima di scaricare un aggiornamento per Flash Player.

In realtà viene copiato sul computer il file infopub.dat che contiene il ransomware Bad Rabbit. Se l’utente ha impostato le credenziali di accesso viene eseguito il tool Mimikatz che permette di scoprire la password. Il malware usa quindi il tool DiskCryptor per cifrare il disco con una chiave RSA a 2.048 bit e installa un bootloader modificato per prevenire il riavvio del computer. A questo punto viene mostrata una schermata con un link ad un sito Tor. Nella pagina del sito sono visualizzati un conto alla rovescia (circa 41 ore) e un campo in cui deve essere digitato l’indirizzo del pagamento richiesto (0,05 Bitcoin).

Immagini

Bad Rabbit ha molte similitudini con Petya, ma non è chiaro se gli autori sono gli stessi. Gli utenti devono aggiornare al più presto i propri software di sicurezza per bloccare il ransomware. Se l’update non è ancora disponibile è possibile applicare un “vaccino" temporaneo, seguendo le istruzioni indicate in questa pagina.