domenica 29 ottobre 2017

Bad Rabbit, nuovo virus blocca dati computer: analisi di Check Point


Un nuovo virus informatico minaccia l’Europa, con caratteristiche simili a quello che a giugno ha messo ko diverse aziende e infrastrutture critiche. Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, analizza l’attacco ransomware “Bad Rabbit” in corso in tutto il mondo in queste ore. Anche se non è ancora noto quale sia la variante di ransomware coinvolta, questo attacco è la prova evidente di quanto possa essere dannoso un attacco di questo tipo e quanto rapidamente possa provocare danni ai servizi in caso di assenti adeguate misure di sicurezza.

Le aziende devono essere in grado di prevenire le infezioni da subito, eseguendo la scansione, bloccando e filtrando i contenuti sospetti prima che questi arrivino alle reti e inizino a codificare i file. Il numero degli attacchi di ransomware è raddoppiato a livello mondiale nei primi sei mesi del 2017 rispetto al 2016, ma il 99 percento delle organizzazioni non ha ancora messo in atto le tecnologie base per prevenire questi tipi di attacchi. Gli esperti di Check Point ribadiscono ancora una volta che queste minacce potrebbero essere evitate se si applicassero le opportune misure di sicurezza. Yaniv Balmas, Security Research Group Manager at Check Point Software Technologies, in particolare rende noto alcune considerazioni:


• pare che la Russia sia il paese più colpito da questo attacco, seguita dall’Ucraina e, a quanto pare, anche da Turchia e Germania. Questo elemento potrebbe aiutare a identificare l’hacker e la motivazione dietro l’attacco; • questo ransomware imita il malware originale di Petya, ma somiglia molto di più alla successiva versione NotPetya; • il ransomware si muove lateralmente per poi diffondersi all’interno dell’azienda colpita. Anche se fonti generiche parlano di utilizzo dell’exploit Eternal Blue, non riusciamo ancora a trovare alcun riferimento a questo nel codice del ransomware; • pare che il ransomware sia stato inizialmente diffuso con la modalità drive-by-download tramite annunci pubblicitari in siti web popolari.


Finora è stato identificato un solo sito, ma ce ne potrebbero essere altri che non sono stati ancora individuati; • il ransomware integra uno strumento commerciale capace di crittografare i file di sistema. Quando “Bad Rabbit” infetta un sistema richiede alle vittime un riscatto in bitcoin, un conto alla rovescia di 40 ore scandisce il tempo prima dell'aumento del riscatto. Sembra che il virus si diffonda attraverso un falso software di installazione del programma Flash Player, poi si estende all’interno delle aziende colpite e cripta, cioè rende illeggibili, file di uso comune come ‘.doc’ e ‘.jpg’. Poi indirizza le vittime alla registrazione di un servizio e chiede un pagamento di 0,05 bitcoin (circa 280 dollari alla valuta attuale) per riavere i dati.

Il ransomware utilizza un noto software open source chiamato DiskCryptor per crittografare le unità della vittima. La schermata di blocco presentata all’utente è quasi identica alle famigerate schermate di blocco Petya e NotPetya. Tuttavia, questa è l’unica somiglianza che i ricercatori di Check Point hanno osservato finora tra i due malware, in tutti gli altri aspetti BadRabbit è una struttura completamente nuova e ransomware unico. Dopo l’infezione con successo, il ransomware crea una chiave univoca per ogni vittima che viene presentata su un file creato ‘READ ME.txt’ insieme al sito di pagamento che è ospitato su Tor. Il sito di pagamento è molto accattivante graficamente, con lettere colorate e mutevoli. Ulteriori informazioni relative al ransomware Bad Rabbit sono disponibili anche sul post di Check Point.




Nessun commento:

Posta un commento