Gennaio 16, 2018

Bad Rabbit – un nuovo capitolo della saga ransomware

Il 24 Ottobre, numerose organizzazioni russe sono state colpite e le loro infrastrutture paralizzate da un nuovo attacco Ransomware, Bad Rabbit!  Il malware, come altri crypto-virus è scritto in modo da bloccare e crittografare i file degli utenti richiedendo poi il pagamento di un riscatto per sbloccare i files.

Una delle vittime principali dell’attacco è stato l’aeroporto di Odessa in Ucraina, causando ritardi dei voli dovuti alle attività di gestione manuale dei dati degli utenti.

Bad Rabbit è il terzo Ransomware ad aver avuto un massivo impatto su molte organizzazioni pubbliche e private, i precedenti sono stati WannaCry e NotPetya.

La propagazione di Bad Rabbit

Il team X-Force di IBM ha analizzato miliardi di messaggi di spam escludendo la diffusione dell’attacco attraverso questo canale. Per colpire i computer, i creatori di Bad Rabbit hanno compromesso siti di news e media in modo da re-indirizzare i visitatori ad una landig page sotto il loro controllo.

In queste pagine, gli utenti venivano avvisati della disponibilità di un aggiornamento Adobe Flash, utilizzato per inoculare il malware tramite quello che comunemente viene chiamato un attacco “drive-by-attack“. Gli utenti che eseguivano il “finto aggiornamento” hanno così permesso la propagazione del malware sul loro personal computer e tutti i computer di una eventuale rete interconnessa.

Richiesta di pagamento

Al momento in cui scriviamo, Bad Rabbit richiede il pagamento di 0.05 Bitcoin (circa 273$) per sbloccare e decrittografare i files. Le note con le istruzioni di pagamento, compaiono direttamente sul desktop dell’utente, indirizzandolo ad una pagina di servizio dedicata.

 

 

 

 

 

Raggiunto il sito dei creatori del virus ( hostato su rete Tor per mantenere le comunicazioni anonime) la vittima viene avvisata tramite un countdown del tempo rimanente entro il quale effettuare il pagamento.

Non pagare i creatori di Ransomware

Ricordiamo sempre, qualora si fosse vittima di attacco Ransomware, di non pagare gli importi richiesti. In nessun caso vi è certezza di ricevere la chiave di decrittazione dei files.

Mentre scriviamo questo articolo, i principali prodotturi di software antivirus, hanno rilasciato degli aggiornamenti in grado di rilevare il malware, oltre a rilasciare degli strumenti in grado di supportare la decodifica dei files.

Strumenti per rispondere alla minaccia

Informare circa le modalità operative e le conseguenze di queste tipologie di attacchi, ci aiuta a creare utenti sempre più consapevoli ed attenti.

L’utilizzo di software antivirus, sistemi operativi aggiornati, adeguate politiche di backup, piattaforme di monitoraggio e analisi dei dati supportano l’utente nelle attività di prevenzione, gestione e risoluzione delle minacce rappresentate dagli attacchi Ransomware.

Elmi, con il suo team di esperti, può fornirti  soluzioni di Cybersecurity in grado di rispondere alle esigenze di sicurezza per la tua azienda

Dalla protezione degli endpoint con la suite Kaspersky o IBM BigFix, passando per la difesa perimetrale con soluzioni di IDS/IPS, alla gestione delle policy di backup con Veeam Backup, fino alla Security Intelligence con la suite di prodotti IBM Qradar. (Scopri di più sulla soluzione IBM Qradar guardando questo breve video introduttivo )