BadRabbit, nuova epidemia da ransomware in corso

La nuova minaccia prende di mira soprattutto i PC russi, dicono i ricercatori, e tutto lascia supporre che gli autori abbiano qualche collegamento con i criminali coinvolti nelle epidemie che hanno fatto notizia nei mesi passati

Roma – In queste ore un nuovo ransomware chiamato BadRabbit sta facendo furore nei Paesi dell’Est, con gli attacchi concentrati soprattutto in Russia (Ucraina, Turchia e Germania a seguire) contro i network aziendali. I metodi di propagazione ricordano molto, troppo da vicino quelli già adoperati dai ransomware che hanno fatto furore non molto tempo addietro, anche se gli eventuali collegamenti tra gli autori dei diversi attacchi sono ancora tutti da verificare. Una curiosità emersa da una prima analisi del codice è che si tratti di fan della serie TV “Il Trono di Spade” , con citazione dei nomi dei tre draghi (Drogon, Viserion e Rhaegal) e del personaggio Verme Grigio (GrayWorm).

BadRabbit, nomi dei draghi de Il Trono di Spade

BadRabbit, citazione del personaggio Verme Grigio

Una delle vittime eccellenti di BadRabbit è al momento l’agenzia di stampa russa Interfax, dove i server attaccati sono ora in via di ripristino secondo quanto sostiene l’azienda; altri casi di infezione sono stati riscontrati in Ucraina presso l’aeroporto di Odessa, la metropolitana di Kiev e il Ministero delle Infrastrutture.


BadRabbit si diffonde tramite l’invito a installare un aggiornamento per Flash Player , un pacchetto malevolo che richiede l’esecuzione manuale da parte dell’utente e che, stando ai ricercatori di Group-IB, è stato distribuito tramite alcuni siti compromessi di news in lingua russa.


Una volta preso il controllo del sistema, il ransomware usa il tool open source Mimikatz per provare a estrarre le credenziali di accesso ai server dalla memoria del PC ; si tratta dello stesso sistema adoperato dall’epidemia di NotPetya in estate, così come è il tentativo di sfruttare le connessioni SAMBA ( SMB ) per diffondersi attraverso la rete locale. In alcuni casi BadRabbit ha fatto scattare l’allarme dei software di sicurezza in merito all’uso del famigerato exploit EternalBlue , anche se per ora non esistono prove dell’uso effettivo della tecnica di hacking di NSA.

BadRabbit

Meccanismi di propagazione a parte, il nuovo ransomware si comporta esattamente come quelli vecchi cifrando i file sul disco (archivi compressi, applet java, documenti Word e molto altro) e modifica il Master Boot Record del disco fisso. Al successivo avvio, il sistema visualizza una schermata di istruzioni con l’invito a visitare un servizio nascosto (.onion) ospitato dalla darknet di Tor da cui ricevere una password, previo pagamento (in crescita costante) in 0,05 Bitcoin, con cui sbloccare il sistema infetto.


Le analisi sul codice e le caratteristiche di BatRabbit sono ancora in corso, e secondo Kaspersky basta evitare di mandare in esecuzione i due file malevoli scaricati sul sistema ( C:\Windows\infpub.dat e C:\Windows\cscc.dat ) per evitare l’infezione. In effetti, al momento del lancio il ransomware potrebbe espressamente richiedere la disabilitazione del software antivirale installato. Mai come in questo caso, chi viene infettato se l’è insomma andata a cercare.

Alfonso Maruccia

Fonte immagini: 1 , 2 , 3

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • maxzizz scrive:
    rimediate please
    9 di 10 commenti sono del COGLIONAZZO. Bannatelo! Mannaggia il XXXXX del diavolo immondo.
    • Alvaro Vitali scrive:
      Re: rimediate please
      - Scritto da: maxzizz
      9 di 10 commenti sono del COGLIONAZZO. Bannatelo!
      Mannaggia il XXXXX del diavolo immondo.Ma se bannano il COGLIONAZZO poi nessuno viene più qui su PI a farsi quattro risate
      • ... scrive:
        Re: rimediate please
        - Scritto da: Alvaro Vitali
        Ma se bannano il COGLIONAZZO poi nessuno viene
        più qui su PI a farsi quattro
        risateFinché c'è panda c'è speranza ...che il divertimento continui
  • ... scrive:
    quotidiano informatico
    Gli utenti di Linux sono persone annoiate dalla società in cui vivono, cercano risposte altrove: nel movimento "free source" e nei valori che esso vuole (o vorrebbe) trasmettere. Amano scaricare i film e non hanno grande stima per il mondo lavorativo, anzi, spesso sono disoccupati (a volte si riuniscono in centri sociali). Non mostrano ideali forti, propositivi.
    • Alvaro Vitali scrive:
      Re: quotidiano informatico
      Questo messaggio lo hai scritto mentre stai in bagno con una rivista XXXXX.
      • giggi scrive:
        Re: quotidiano informatico
        - Scritto da: Alvaro Vitali
        Questo messaggio lo hai scritto mentre stai in
        bagno con una rivista
        XXXXX.Ah !! Conosci bene le abitudini di un linaro, quindi anche tu utente Linux... Allora poi quando esci dal bagno lascia pure dentro la rivista, qualche altro linaro del forum ti darà certamente il cambio....
      • peppe scrive:
        Re: quotidiano informatico
        - Scritto da: Alvaro Vitali
        Questo messaggio lo hai scritto mentre stai in
        bagno con una rivista
        XXXXX.Eh già, perchè tu quando sei in bagno con una rivista XXXXX la prima cosa a cui pensi sono gli utenti linux....E quando trombi a cosa pensi ? A Mastro Torvaldo o a Riccardino Stalla-man ?
        • ... scrive:
          Re: quotidiano informatico
          - Scritto da: peppe
          Eh già, perchè tu quando sei in bagno con una
          rivista XXXXX la prima cosa a cui pensiNon è fornito di alcun oggetto per poter effettuare l'operazione "pensa"
      • ... scrive:
        Re: quotidiano informatico
        - Scritto da: Alvaro Vitali
        Questo messaggio lo hai scritto mentre stai in
        bagno con una rivista XXXXX.Ed era il momento in cui tu nascevi, poi eliminato dalla società tirando lo sciacquoneBuon viaggio st...
  • ... scrive:
    nuovo trojan bancario per Android
    [img]http://cdn.grahamcluley.com/wp-content/uploads/2015/12/banking-trojan-horse.jpeg[/img]
  • maxsix scrive:
    Rende però eh
    1500000/100=15000 androidi gabbati.Mica male.L'unica domanda che mi sorge spontanea è: questi 15000 sono sure maria da play store o cantinari all'assalto di store alternativi?Chissà.XXXXXXXXX, sei uno di questi?
    • f832ba6e1b5 scrive:
      Re: Rende però eh
      - Scritto da: maxsix
      1500000/100=15000 androidi gabbati.

      Mica male.
      http://punto-informatico.it/b.aspx?i=4408455&m=4408529#p4408529
      • ... scrive:
        Re: Rende però eh
        - Scritto da: f832ba6e1b5
        - Scritto da: maxsix

        1500000/100=15000 androidi gabbati.



        Mica male.


        E XXXXXXXXX ha puntualmente risposto
  • andropausa oid scrive:
    mi viene da piangere...
    ....per i crampi alle dita, a continuare a commentare un giorno si e un giorno si i malware di androXXXXXid.... :sperò mi viene da ridere se penso a tutti quei rimbambiti del forum che negano commentando: "...ma windows....", "...ma Apple...." (rotfl)(rotfl)(rotfl)e che dire di quelli che basta mettere vicino le parole "Android" e "malware" che gli viene una crisi epilettica ? (rotfl)(rotfl)(rotfl)eh certo !! androiXXXXXid non può avere malware, androXXXXXid è linux !! (rotfl)(rotfl)(rotfl).....da scomXXXXXXrsi... (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)
    • maxsix scrive:
      Re: mi viene da piangere...

      androXXXXXid è linux !!Quindi oggi android è linux.Berù segna.
      • f832ba6e1b5 scrive:
        Re: mi viene da piangere...
        Complimenti. Sei riuscito a scrivere 4 commenti con due nick diversi in 4 minuti. Bel ritmo.
        • ... scrive:
          Re: mi viene da piangere...
          - Scritto da: f832ba6e1b5
          Complimenti. Sei riuscito a scrivere 4 commenti
          con due nick diversi in 4 minuti. Bel
          ritmo.beh, neanche tu scherzi, tre cretinate un una 20na di minuti. C'è cmq margine di miglioramento se ti impegni
        • maxsix scrive:
          Re: mi viene da piangere...
          - Scritto da: f832ba6e1b5
          Complimenti. Sei riuscito a scrivere 4 commenti
          con due nick diversi in 4 minuti. Bel
          ritmo.Prego?Non sono mica giaguaro / fuddaro / XXXXXXXXX di turno.
          • Alvaro Vitali scrive:
            Re: mi viene da piangere...
            - Scritto da: maxsix

            Non sono mica giaguaro / fuddaro / XXXXXXXXX di turno.Complimenti!Tutti commenti altamente tecnici; del resto, possiamo capirvi, sarebbe uno spreco di tempo commentare seriamente gli articoli di Maruccia.Io ancora aspetto di conoscere personalmente qualche idiota che si è fatto XXXXXXX da questo trojan. Su PI abbiamo letto ormai centinaia di articoli su presunti malware per Android, ma ancora non abbiamo visto un solo misero caso reale (tranne i video su YouTube di deficienti che si infettano da soli); tutto questo sembra molto strano ...Portateci qui almeno uno di questi idioti che lo vogliamo conoscere.
    • Fan innamorato di Bertuccia il macaco scrive:
      Re: mi viene da piangere...
      Quelli che hanno l'Iphone, li riconosci subito!Io ho un Iphone, lo cracco/sblocco/quellochevuoi, vado in uno store "alternativo", mi becco una supposta da un chilo e mezzo... e la colpa è dell'Iphone?Che modello hai?
      • maxsix scrive:
        Re: mi viene da piangere...
        - Scritto da: Fan innamorato di Bertuccia il macaco
        Quelli che hanno l'Iphone, li riconosci subito!
        Sentiamo il professore.
        Io ho un Iphone, lo cracco/sblocco/quellochevuoi,
        vado in uno store "alternativo", mi becco una
        supposta da un chilo e mezzo... e la colpa è
        dell'Iphone?
        Professore, rileggi la mia considerazione.Con calma eh.Poi torna.
        • Fan innamorato di Bertuccia il macaco scrive:
          Re: mi viene da piangere...
          Oh Volpe purpurea! Rispondevo a "andropausa oid"Anche tu hai l'aifone gold?
          • maxsix scrive:
            Re: mi viene da piangere...
            - Scritto da: Fan innamorato di Bertuccia il macaco
            Oh Volpe purpurea! Rispondevo a "andropausa oid"Oh scusa professore, hai ragione ho visto male
            Anche tu hai l'aifone gold?No, grigio e parecchio vissuto.Quindi?
          • ... scrive:
            Re: mi viene da piangere...
            - Scritto da: maxsix
            - Scritto da: Fan innamorato di Bertuccia il
            macaco

            Oh Volpe purpurea! Rispondevo a "andropausa
            oid"

            Oh scusa professore, hai ragione ho visto male


            Anche tu hai l'aifone gold?

            No, grigio e parecchio vissuto.
            Quindi?quindi sei un pezzente. compra un X o al minimo un 8, antrimenti qui non farti piu' vedere.
          • maxsix scrive:
            Re: mi viene da piangere...
            - Scritto da: ...
            - Scritto da: maxsix

            - Scritto da: Fan innamorato di Bertuccia il

            macaco


            Oh Volpe purpurea! Rispondevo a "andropausa

            oid"



            Oh scusa professore, hai ragione ho visto male




            Anche tu hai l'aifone gold?



            No, grigio e parecchio vissuto.

            Quindi?

            quindi sei un pezzente. compra un X o al minimo
            un 8, antrimenti qui non farti piu'
            vedere.Vedremo, ho già espresso il mio punto di vista più volte professore.
      • andropausa oid scrive:
        Re: mi viene da piangere...
        - Scritto da: Fan innamorato di Bertuccia il macaco
        Quelli che hanno l'Iphone, li riconosci subito!Tu li riconosci subito perchè il tuo QI è alto :D
        Io ho un Iphone, lo cracco/sblocco/quellochevuoi,
        vado in uno store "alternativo", mi becco una
        supposta da un chilo e mezzo... e la colpa è
        dell'Iphone?Però quando c'è da commentare qualsiasi cosa per MS e Apple non mi sembrate così ragionevoli, voi linari-androXXXXXidi :D
        Che modello hai?Chiese l'intelligentone che: - Scritto da: Fan innamorato di Bertuccia il macaco
        Quelli che hanno l'Iphone, li riconosci subito!Nessun modello. E adesso come la mettiamo con il tuo QI ? (rotfl)
        • Fan innamorato di Bertuccia il macaco scrive:
          Re: mi viene da piangere...
          Pensa, un applista senza aifone...Ma dove andremo a finire!Studia che domani hai matematica e il prof questa volta ti stura!
          • andropausa oid scrive:
            Re: mi viene da piangere...
            - Scritto da: Fan innamorato di Bertuccia il macaco
            Pensa, un applista senza aifone...Pensa, uno pur di non ammettere la propria stupidità è disposto a modificare la realtà e ad immaginare: "gli applisti senza aifone" (rotfl)(rotfl)(rotfl)
            Ma dove andremo a finire!Quelli che modificano la realtà e vedono "macachi" o peggio "applisti senza aifone" dappertutto....non so....dove andranno a finire ? Prova a fartelo spiegare dal tuo psichiatra :D
            Studia che domani hai matematica e il prof questa
            volta ti
            stura!Si si certo....adesso stai lì tranquillo che tra un po' passa l'infermiere a portarti le pastiglie e vedrai che tutto ritorna alla normalità (rotfl)
          • prof scrive:
            Re: mi viene da piangere...
            - Scritto da: andropausa oid
            - Scritto da: Fan innamorato di Bertuccia il
            macaco

            Pensa, un applista senza aifone...

            Pensa, uno pur di non ammettere la propria
            stupidità è disposto a modificare la realtà e ad
            immaginare: "gli applisti senza aifone"
            (rotfl)(rotfl)(rotfl)Guarda che esistono davvero!Sono quelli che fanno la fila per due notti di fila, in tenda, per poi tornarsene a casa appena prima l'apertura. (rotfl)
          • Fan innamorato di Bertuccia il macaco scrive:
            Re: mi viene da piangere...
            http://www.leggo.it/tecnologia/apple/iphone_8_apple_store_fila_orio_al_serio_25_settembre_2017-3260550.htmlcoff coff...
          • panda rossa scrive:
            Re: mi viene da piangere...
            - Scritto da: Fan innamorato di Bertuccia il macaco
            http://www.leggo.it/tecnologia/apple/iphone_8_appl

            coff coff...Pensa la sfiga multipla:1) dormire per terra come pezzenti2) lasciarci comunuque un paio di stipendi in tre3) nessun applauso dei genius4) nessuna ovazione degli altri macachi in fila5) tra un mese saranno considerati pezzenti dai possessori di iPhoneX
    • ... scrive:
      Re: mi viene da piangere...
      a fuddaro sei proprio un XXXXXXXXX
  • f832ba6e1b5 scrive:
    non quadra
    Non quadra. Sicuramente quei portafogli virtuali ora sono sotto i controllo della polizia. Loro hanno i mezzi per tracciare tutti i movimenti. Perchè attirare la loro attenzione su un portafoglio virtuale tanto ricco? Per creare un nuovo portafoglio vuoto non ci vuole tanto. Non è che c'è qualche guerra sotto per il controllo dei bitcoins? Non è che è stato messo di proposito in circolazione un trojan fatto male ma utile per incastrare un detentore di una discreta somma? Magari la spiegazione è un'altra ma che il creatore del ransomware volesse veramente raccogliere riscatti tramite quel portafoglio non ci credo, è troppo stupido.
    • maxsix scrive:
      Re: non quadra
      - Scritto da: f832ba6e1b5
      Non quadra. Sicuramente quei portafogli virtuali
      ora sono sotto i controllo della polizia. Loro
      hanno i mezzi per tracciare tutti i movimenti.
      Perchè attirare la loro attenzione su un
      portafoglio virtuale tanto ricco? Per creare un
      nuovo portafoglio vuoto non ci vuole tanto.


      Non è che c'è qualche guerra sotto per il
      controllo dei bitcoins? Non è che è stato messo
      di proposito in circolazione un trojan fatto male
      ma utile per incastrare un detentore di una
      discreta somma? Magari la spiegazione è un'altra
      ma che il creatore del ransomware volesse
      veramente raccogliere riscatti tramite quel
      portafoglio non ci credo, è troppo
      stupido.100$ per lo sblocco. Basta leggere eh.
      • f832ba6e1b5 scrive:
        Re: non quadra


        100$ per lo sblocco. Basta leggere eh.Non ci credo. Ai ransomware pagano solo quattro idioti. I soldi stavano già lì.
        • ... scrive:
          Re: non quadra
          - Scritto da: f832ba6e1b5



          100$ per lo sblocco. Basta leggere eh.

          Non ci credo. Ai ransomware pagano solo quattro
          idioti. I soldi stavano già lì.Quindi tu hai pagato allora
        • maxsix scrive:
          Re: non quadra
          - Scritto da: f832ba6e1b5



          100$ per lo sblocco. Basta leggere eh.

          Non ci credo. Ok, anche noi ti crediamo.Gigi invece no, ma oggi ha le palle girate, ieri sera si è scottato il dito sulla piastra.E' un mona [cit.]
          • ed5a5f85b0a scrive:
            Re: non quadra


            Ok, anche noi ti crediamo.
            Gigi invece no, Il pagamento del riscatto accade quando si verificano le seguenti coincidenze:1) Il terminale è infetto2) Il proprietario del terminale ha abbastanza conoscenze informatiche da sapere cosa è Bitcoin e saper fare pagamenti in bitcoins3) Nonostante le cononscenze informatiche il proprietario è tanto pollo da pagare il ramsomwareAnche se becchi milioni di terminali con il malware trovare in numero significativo la coincidenza dei punti 2 e 3 è praticamente imppossibile.Questo più che un attacco ai proprietari dei terminali sembra una buona scusa per lanciare una inchiesta ufficiale e giustificare rogatorie internazionali su un portafogli di bitcoins.
          • maxsix scrive:
            Re: non quadra
            - Scritto da: ed5a5f85b0a



            Ok, anche noi ti crediamo.

            Gigi invece no,

            Il pagamento del riscatto accade quando si
            verificano le seguenti
            coincidenze:Ok, ci sto, faccio rispondere a Gigi[GIGI]
            1) Il terminale è infettoQuindi ammetti che è possibile "infettare" (mettiamo le virgolette) un terminale Android. Bene, hai fatto un bel passo avanti rispetto alla media qui dentro.
            2) Il proprietario del terminale ha abbastanza
            conoscenze informatiche da sapere cosa è Bitcoin
            e saper fare pagamenti in
            bitcoinsGiusta osservazione. Quindi per il suddetto postulato chi ci casca non è la sura maria per il semplice fatto, vero, che non conosce bitcoin e come funziona. Quindi sono cantinari esperti.
            3) Nonostante le cononscenze informatiche il
            proprietario è tanto pollo da pagare il
            ramsomware
            Esatto, avvalori la tesi precedente. Quindi questi che hanno le conoscenze informatiche si fanno fessi da soli. Le cose sono 2, o non sono così esperti, oppure hanno a che fare con un sistema operativo fuori controllo che li fa fessi anche se ci mettono tutto il granum salis del mondo.Direi la seconda.
            Anche se becchi milioni di terminali con il
            malware trovare in numero significativo la
            coincidenza dei punti 2 e 3 è praticamente
            imppossibile.
            Quindi non è niente vero, maruccia è un ballista con i fiocchi e allocchi noi a credergli quando scrive un articolo qui.Può essere eh, ma questo:Suo cuggino https://www.certnazionale.it/news/2017/10/24/lokibot-il-primo-trojan-bancario-per-android-con-capacita-di-ransomware/Questo suo fratello dall'ammmerica https://www.bleepingcomputer.com/news/security/lokibot-android-banking-trojan-turns-into-ransomware-when-you-try-to-remove-it/Insomma Maruccia e parenti è gente importante, riescono a spandere le loro balle ovunque. Potenza di internet, insomma.
            Questo più che un attacco ai proprietari dei
            terminali sembra una buona scusa per lanciare una
            inchiesta ufficiale e giustificare rogatorie
            internazionali su un portafogli di
            bitcoins.Ok, può essere. Non capisco molto come riesci ad infilarci dentro le scie chimiche e il legami tra i vaccini e l'autismo ma ci può stare anche quello dentro no?[/GIGI]Roba sua eh, ambasciatore non porta pena.PS: però quando ha detto postulato mi è andata di traverso dal ridere la birra e le XXXXXXX intorno alla baracca si sono levate le mutande dall'eccitazione. Gigi è sempre Gigi.
          • panda rossa scrive:
            Re: non quadra
            - Scritto da: maxsix
            PS: però quando ha detto postulato mi è andata di
            traverso dal ridere la birra e le XXXXXXX intorno
            alla baracca si sono levate le mutande
            dall'eccitazione. Gigi è sempre
            Gigi.E dicci, quando ti sei reso conto che le XXXXXXX erano in realta' dei viados?Nel momento in cui si sono smutandate, o solo dopo che ti sei ritrovato a fare la locomotiva del trenino, cantando: "Brigitte Bardot, Bardot!"
          • Fan innamorato di Bertuccia il macaco scrive:
            Re: non quadra
            Ah, bei tempi!
          • ... scrive:
            Re: non quadra
            - Scritto da: panda rossa
            E dicci, quando ti sei reso conto che le XXXXXXX
            erano in realta' dei viados?Quando ti ha visto primo della fila, era così chiaro che anche tu potevi arrivarci.Su, riprovaci ancora sam
Chiudi i commenti