Bad Rabbit, nuova minaccia malware che ‘blocca’ i dati del pc
NOTPETYA è un ransomware che si è diffuso la scorsa primavera. Si propagava attraverso le mail, che vanno aperte perché entri in funzione, ma anche attraverso l’aggiornamento di un software per il mondo business chiamato MeDoc. Adesso sembra ripresentarsi, come spesso capita, sotto altre vesti e con un altro nome: Bad Rabbit. Il “conigliaccio” è stato individuato, come NotPetya, nelle reti ucraine e russe ma anche in Europa, dalla Turchia alla Germania.
Come noto, un ransomware è un virus il cui scopo è estorcere denaro agli utenti bloccando e cifrando i file dei dispositivi e chiedendo un riscatto in criptovaluta che, fra l’altro, quasi mai garantisce il recupero delle informazioni congelate. Bad Rabbit avrebbe anzitutto colpito il ministero delle Infrastrutture ucraino e il sistema di trasporto pubblico di Kiev, aeroporto di Odessa incluso.
Bad Rabbit è stato segnalato anche in Bulgaria, Giappone, Polonia, Corea del Sud e Stati Uniti già dalla giornata di ieri. L’US-Cert ha lanciato un’allerta anche se non ha indicato ulteriori dettagli. Nello specifico, Bad Rabbit penetra in una rete aziendale quando un utente di essa fa partire un falso programma d’installazione di Adobe Flash Player, da sempre (vero e sofisticato che sia) veicolo prediletto dai cracker. Il focolaio principale sembra essere stato un sito di notizie russo ma il meccanismo si sarebbe poi allargato ad altri portali dalla Danimarca alla Turchia.
Una volta che ha infettato la prima macchina, Bad Rabbit sfrutta il tool MimiKatz, uno strumento open source, per individuare le credenziali di login memorizzate nel pc e prova a usarle per penetrare le altre macchine in rete. Espandendosi a macchia d’olio. Secondo alcune analisi utilizzerebbe lo strumento EternalBlue messo a punto dalla Nsa, intorno al quale già ruotavano NotPetya e WannaCry, per altri si tratterebbe invece di una normale infezione che passa dalle credenziali sottratte di macchina in macchina.
Una volta infettata una rete il ransomware, che sembra colpire prevalentemente sistemi Windows, mette sotto chiave tutti i file tramite DiskCryptor, e pubblica una nota di riscatto: pretende 0,05 bitcoin, circa 280 dollari, da trasferire a uno specifico borsellino. (fonte)
