A partire dalla giornata di ieri si sono portate avanti nuove notizie circa la presenza di un temibile ransomware che i ricercatori hanno chiamato Bad Rabbit. Si tratta di una tipologia di virus la cui azione malevola, rilevata nelle location della Russia e dell’Ucraina ma anche delle zone Europee della Germania e della Turchia, corrisponde ad un preciso target di comportamento raffrontabile a quello di soluzioni già viste e destabilizzate.
La definizione ufficiale di ransomware rimanda alla presenza di un particolare tipo di virus informatico il cui scopo è quello di estorcere denaro reale tramite circuito virtuale di file-blocking che cifra i contenuti e conduce inevitabilmente l’utente al pagamento di un riscatto digitale a garanzia di un accesso incondizionato agli stessi.
Una metodica di attacco che nel corso degli ultimi anni ha coinvolto un sempre maggior numero di utenti e di istituti di ricerca nel campo della IT Security come Eset, che nel periodo ha descritto risvolti davvero poco rassicuranti sul futuro di soluzioni tecnologiche sempre più predisposte a nuovi focolai di attacco.
Nello specifico pare si parli di una potenziale variante del noto NotPetya per il quale si è giunti ad una soluzione risolutiva nel corso dell’estate 2017. Gli obiettivi iniziali di questa nuova variante pare siano stati inizialmente circoscritti al Ministero dell’infrastruttura dell’Ucraina ed al sistema di trasporto pubblico di Kiev.
La testata russa Interfax ha pubblicato anche un aggiornamento ufficiale in cui ha affermato che la stessa era stata vittima di attacco diretto e che stava attivamente lavorando allo scopo di ripristinare la situazione disagevole creata dal nuovo ransomware.
Il gruppo Kaspersky Lab,, ultimamente reduce dalle critiche mossegli dalla comunità nei confronti del caso NSA e del bug software riscontrato nei suoi sistemi di protezione anti-virus, ha riferito anche che anche il gruppo locale Fontanka.ru legato al mondo delle news online è stato influenzato negativamente dall’attacco e che ci si sta concentrando attivamente nell’analisi del software. Gli esperti di IT Security appartenenti alla file di Kaspersky ed Eset Technology stanno lavorando di fatto attivamente e congiuntamente allo scopo di delineare il profilo di quello che sembrerebbe essere l’ennesima variabile di NotPetya o ExPetr.
Il blog della società di sicurezza russa ha rilasciato alcune dichiarazioni chiave in base alle quali si deduce che il range d’attacco coinvolge le reti aziendali con metodiche di attacco del tutto simili a quelle rilevate in occasione dell’analisi ExPetr. Tuttavia, al momento, le due società non si sbilanciano e si portano di fatto a riconsiderare il nuovo ransomware in base alle analisi ancora in corso.
“I nostri ricercatori hanno rilevato una serie di siti web compromessi, tutti i siti di notizie o media. In base alla nostra ricerca, questo è un attacco mirato alle reti aziendali, utilizzando metodi simili a quelli utilizzati nell’attentato ExPetr. Tuttavia, non possiamo confermare che sia correlato a ExPetr.”
Vaccination for the Ukraine round 2? Wanna stop #badrabbit?
Create a file called c:windowsinfpub.dat and remove all write permissions for it. This should keep the malware from encrypting. Testing it now… pic.twitter.com/3MSSH8WKPb— Amit Serper (@0xAmit) October 24, 2017
I creatori del ransomware pare siano degli accaniti fan di Game of Thrones, in quanto il malware fa espresso riferimento ai draghi di Daenerys Targaryen ed a GrayWorm.
https://twitter.com/GossiTheDog/status/922859996609736710
Il ransomware Bad Rabbit infetta i computer aziendali reindirizzando l’utente ad un dominio di tipo .Onion Tor dal quale si manifesta una richiesta di pagamento in Bitcoin per un valore di $276 americani in cambio dello sblocco dei propri file. Un countdown mostra il tempo residuo utile per portare a termine la procedura di pagamento prima di un successivo aumento del prezzo richiesto per l’unlock fiile.
Allo stato attuale non è stato possibile delineare un profilo completo del metodo operativo del sistema di infezione e se questi proceda effettivamente allo sblocco dei file presi in ostaggio una volta corrisspoto il pagamento richiesto, anche se da un primo test pare che la procedura risolutiva sia stata finalizzata in modo positivo dopo il pagamento.
Unlike #ExPetr, #BadRabbit is not a wiper. pic.twitter.com/JeBnD8q9DV
— Anton Ivanov (@antonivanovm) October 24, 2017
In questa occasione pare dunque che il pagamento abbia garantito la restituzione integrale dei dati prelevati. Ad ogni modo, secondo quanto emerso dall’esperienza di questi anni in ben specifiche situazioni analoghe, non sempre al pagamento corrisponde la restituzione, ed è per questo che molti utenti non vogliono scendere a compromessi per quanto concerne il pagamento e preferiscono invece dare in pasto i loro file ai malintenzionati di turno.
Si tratta di un sistema di attacco decisamente efficace, che solo nel 2017 ha mietuto un numero davvero considerevole di vittime, tutte accomunate dal male comune perpetrato attraverso sistemi di attacco basati su NotPetya e WannaCry per i quali si è comunque giunti ad una soluzione definitiva che scongiura il pagamento.
E tu sei stato vittima di un attacco simile? Come ti sei comportato? Spazio a tutte le tue personali dichiarazioni ed a tutti i tuoi commenti al riguardo.
