Il post sarà aggiornato ogni qual volta i nostri esperti avranno nuove informazioni sul malware.
Quest’anno abbiamo assistito già a due ransomware di grande portata, parliamo dei dannosi WannaCry ed ExPetr (conosciuti anche come Petya e NotPetya). E sembra che stia per arrivarne un altro: il nuovo malware si chiama Bad Rabbit, è quello che si evince dal sito sulla Darknet presente nel messaggio del riscatto.
Al momento sappiamo che il ransomware Bad Rabbit ha infettato alcuni grandi media russi, tra cui l’agenzia di notizie Interfax e Fontanka.ru, già tra le vittime confermate. L’Aeroporto Internazionale di Odessa ha registrato un attacco al proprio sistema informatico, anche se non è ancora chiaro se si tratta della stessa tipologia.
I cybercriminali di Bad Rabbit chiedono come riscatto 0,05 bitocoin, circa 280 dollari secondo il tasso di cambio attuale.
Secondo quanto abbiamo scoperto, l’attacco non utilizza exploit, si tratta di un attacco drive-by: le vittime scaricano un falso installer di Adobe Flash da siti infetti e lanciano manualmente il file .exe, infettando il sistema. I nostri ricercatori hanno individuato numerosi siti infetti, tutti di notizie o media.
Non si sa ancora se è possibile riavere indietro i file cifrati da Bad Rabbt (pagando il riscatto o sfruttando qualche falla nel codice del ransomware). Gli esperti di Kaspersky Lab stanno effettuando le proprie indagini e vi informeremo con aggiornamenti di questo post.
In base ai nostri dati, la maggior parte delle vittime si trovano in Russia. Ci sono altri casi simili, ma in misura minore, in Ucraina, Turchia e Germania e il ransomware ha infettato i dispositivi attraverso i siti hackerati di alcuni media russi. Dall’indagine emerge che si tratta di un attacco mirato alle reti aziendali, che utilizza metodi simili a quelli di ExPetr, ma non possiamo confermare un collegamento. Le nostre indagini continuano; nel frattempo, su Securelist troverete maggiori dettagli tecnici.
I prodotti Kaspersky Lab individuano l’attacco con la seguente dicitura:
UDS:DangerousObject.Multi.Generic (individuato da Kaspersky Security Network) e PDM:Trojan.Win32.Generic (individuato da System Watcher).
Ecco come non cadere nella trappola di Bad Rabbit:
Utenti dei prodotti Kaspersky Lab:
- Assicuratevi che siano attivi System Watcher e Kaspersky Security Network. Se non è questo il caso, attivate immediatamente questi due componenti;
Altri utenti:
- Bloccate l’esecuzione dei file c:\windows\infpub.dat e c:\Windows\cscc.dat.
- Disattivale il servizio VMI (se possibile) per evitare che il malware si diffonda attraverso la rete.
Consigli per tutti:
- Eseguite il backup dei dati;
- Non pagate il riscatto.