In queste ore un nuovo ransomware chiamato BadRabbit sta facendo furore nei Paesi dell’Est, con gli attacchi concentrati soprattutto in Russia (Ucraina, Turchia e Germania a seguire) contro i network aziendali. I metodi di propagazione ricordano molto, troppo da vicino quelli già adoperati dai ransomware che hanno fatto furore non molto tempo addietro, anche se gli eventuali collegamenti tra gli autori dei diversi attacchi sono ancora tutti da verificare. Una curiosità emersa da una prima analisi del codice è che si tratti di fan della serie TV “Il Trono di Spade” , con citazione dei nomi dei tre draghi (Drogon, Viserion e Rhaegal) e del personaggio Verme Grigio (GrayWorm).


Una delle vittime eccellenti di BadRabbit è al momento l’agenzia di stampa russa Interfax, dove i server attaccati sono ora in via di ripristino secondo quanto sostiene l’azienda; altri casi di infezione sono stati riscontrati in Ucraina presso l’aeroporto di Odessa, la metropolitana di Kiev e il Ministero delle Infrastrutture.
#BadRabbit #cryptor attacked a number of Russiàs major media. @interfax_news pic.twitter.com/5iLNs131Ml
– Group-IB (@GroupIB_GIB) 24 ottobre 2017
BadRabbit si diffonde tramite l’invito a installare un aggiornamento per Flash Player , un pacchetto malevolo che richiede l’esecuzione manuale da parte dell’utente e che, stando ai ricercatori di Group-IB, è stato distribuito tramite alcuni siti compromessi di news in lingua russa.
#BadRabbit was spread via web traffic from compromised media sites. #infosec #ransomware #cryptor pic.twitter.com/7GPsgZ2s3A
– Group-IB (@GroupIB_GIB) 24 ottobre 2017
Una volta preso il controllo del sistema, il ransomware usa il tool open source Mimikatz per provare a estrarre le credenziali di accesso ai server dalla memoria del PC ; si tratta dello stesso sistema adoperato dall’epidemia di NotPetya in estate, così come è il tentativo di sfruttare le connessioni SAMBA ( SMB ) per diffondersi attraverso la rete locale. In alcuni casi BadRabbit ha fatto scattare l’allarme dei software di sicurezza in merito all’uso del famigerato exploit EternalBlue , anche se per ora non esistono prove dell’uso effettivo della tecnica di hacking di NSA.

Meccanismi di propagazione a parte, il nuovo ransomware si comporta esattamente come quelli vecchi cifrando i file sul disco (archivi compressi, applet java, documenti Word e molto altro) e modifica il Master Boot Record del disco fisso. Al successivo avvio, il sistema visualizza una schermata di istruzioni con l’invito a visitare un servizio nascosto (.onion) ospitato dalla darknet di Tor da cui ricevere una password, previo pagamento (in crescita costante) in 0,05 Bitcoin, con cui sbloccare il sistema infetto.
Le analisi sul codice e le caratteristiche di BatRabbit sono ancora in corso, e secondo Kaspersky basta evitare di mandare in esecuzione i due file malevoli scaricati sul sistema (
C:\Windows\infpub.dat
e C:\Windows\cscc.dat
) per evitare l’infezione. In effetti, al momento del lancio il ransomware potrebbe espressamente richiedere la disabilitazione del software antivirale installato. Mai come in questo caso, chi viene infettato se l’è insomma andata a cercare.
Alfonso Maruccia
-
non quadra
Non quadra. Sicuramente quei portafogli virtuali ora sono sotto i controllo della polizia. Loro hanno i mezzi per tracciare tutti i movimenti. Perchè attirare la loro attenzione su un portafoglio virtuale tanto ricco? Per creare un nuovo portafoglio vuoto non ci vuole tanto. Non è che c'è qualche guerra sotto per il controllo dei bitcoins? Non è che è stato messo di proposito in circolazione un trojan fatto male ma utile per incastrare un detentore di una discreta somma? Magari la spiegazione è un'altra ma che il creatore del ransomware volesse veramente raccogliere riscatti tramite quel portafoglio non ci credo, è troppo stupido.f832ba6e1b5Re: non quadra
- Scritto da: f832ba6e1b5> Non quadra. Sicuramente quei portafogli virtuali> ora sono sotto i controllo della polizia. Loro> hanno i mezzi per tracciare tutti i movimenti.> Perchè attirare la loro attenzione su un> portafoglio virtuale tanto ricco? Per creare un> nuovo portafoglio vuoto non ci vuole tanto.> > > Non è che c'è qualche guerra sotto per il> controllo dei bitcoins? Non è che è stato messo> di proposito in circolazione un trojan fatto male> ma utile per incastrare un detentore di una> discreta somma? Magari la spiegazione è un'altra> ma che il creatore del ransomware volesse> veramente raccogliere riscatti tramite quel> portafoglio non ci credo, è troppo> stupido.100$ per lo sblocco. Basta leggere eh.maxsixRe: non quadra
> > 100$ per lo sblocco. Basta leggere eh.Non ci credo. Ai ransomware pagano solo quattro idioti. I soldi stavano già lì.f832ba6e1b5Re: non quadra
- Scritto da: f832ba6e1b5> > > > 100$ per lo sblocco. Basta leggere eh.> > Non ci credo. Ai ransomware pagano solo quattro> idioti. I soldi stavano già lì.Quindi tu hai pagato allora...Re: non quadra
- Scritto da: f832ba6e1b5> > > > 100$ per lo sblocco. Basta leggere eh.> > Non ci credo. Ok, anche noi ti crediamo.Gigi invece no, ma oggi ha le palle girate, ieri sera si è scottato il dito sulla piastra.E' un mona [cit.]maxsixmi viene da piangere...
....per i crampi alle dita, a continuare a commentare un giorno si e un giorno si i malware di androXXXXXid.... :sperò mi viene da ridere se penso a tutti quei rimbambiti del forum che negano commentando: "...ma windows....", "...ma Apple...." (rotfl)(rotfl)(rotfl)e che dire di quelli che basta mettere vicino le parole "Android" e "malware" che gli viene una crisi epilettica ? (rotfl)(rotfl)(rotfl)eh certo !! androiXXXXXid non può avere malware, androXXXXXid è linux !! (rotfl)(rotfl)(rotfl).....da scomXXXXXXrsi... (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)andropausa oidRe: mi viene da piangere...
> androXXXXXid è linux !!Quindi oggi android è linux.Berù segna.maxsixRe: mi viene da piangere...
Complimenti. Sei riuscito a scrivere 4 commenti con due nick diversi in 4 minuti. Bel ritmo.f832ba6e1b5Re: mi viene da piangere...
- Scritto da: f832ba6e1b5> Complimenti. Sei riuscito a scrivere 4 commenti> con due nick diversi in 4 minuti. Bel> ritmo.beh, neanche tu scherzi, tre cretinate un una 20na di minuti. C'è cmq margine di miglioramento se ti impegni...Re: mi viene da piangere...
- Scritto da: f832ba6e1b5> Complimenti. Sei riuscito a scrivere 4 commenti> con due nick diversi in 4 minuti. Bel> ritmo.Prego?Non sono mica giaguaro / fuddaro / XXXXXXXXX di turno.maxsixRe: mi viene da piangere...
Quelli che hanno l'Iphone, li riconosci subito!Io ho un Iphone, lo cracco/sblocco/quellochevuoi, vado in uno store "alternativo", mi becco una supposta da un chilo e mezzo... e la colpa è dell'Iphone?Che modello hai?Fan innamorato di Bertuccia il macacoRe: mi viene da piangere...
- Scritto da: Fan innamorato di Bertuccia il macaco> Quelli che hanno l'Iphone, li riconosci subito!> Sentiamo il professore.> Io ho un Iphone, lo cracco/sblocco/quellochevuoi,> vado in uno store "alternativo", mi becco una> supposta da un chilo e mezzo... e la colpa è> dell'Iphone?> Professore, rileggi la mia considerazione.Con calma eh.Poi torna.maxsixRe: mi viene da piangere...
Oh Volpe purpurea! Rispondevo a "andropausa oid"Anche tu hai l'aifone gold?Fan innamorato di Bertuccia il macacoRe: mi viene da piangere...
- Scritto da: Fan innamorato di Bertuccia il macaco> Quelli che hanno l'Iphone, li riconosci subito!Tu li riconosci subito perchè il tuo QI è alto :D > Io ho un Iphone, lo cracco/sblocco/quellochevuoi,> vado in uno store "alternativo", mi becco una> supposta da un chilo e mezzo... e la colpa è> dell'Iphone?Però quando c'è da commentare qualsiasi cosa per MS e Apple non mi sembrate così ragionevoli, voi linari-androXXXXXidi :D > Che modello hai?Chiese l'intelligentone che: - Scritto da: Fan innamorato di Bertuccia il macaco> Quelli che hanno l'Iphone, li riconosci subito!Nessun modello. E adesso come la mettiamo con il tuo QI ? (rotfl)andropausa oidRe: mi viene da piangere...
Pensa, un applista senza aifone...Ma dove andremo a finire!Studia che domani hai matematica e il prof questa volta ti stura!Fan innamorato di Bertuccia il macacoRe: mi viene da piangere...
a fuddaro sei proprio un XXXXXXXXX...Rende però eh
1500000/100=15000 androidi gabbati.Mica male.L'unica domanda che mi sorge spontanea è: questi 15000 sono sure maria da play store o cantinari all'assalto di store alternativi?Chissà.XXXXXXXXX, sei uno di questi?maxsixRe: Rende però eh
- Scritto da: maxsix> 1500000/100=15000 androidi gabbati.> > Mica male.> http://punto-informatico.it/b.aspx?i=4408455&m=4408529#p4408529f832ba6e1b5Re: Rende però eh
- Scritto da: f832ba6e1b5> - Scritto da: maxsix> > 1500000/100=15000 androidi gabbati.> > > > Mica male.> > > E XXXXXXXXX ha puntualmente risposto...Re: Rende però eh
- Scritto da: ...> - Scritto da: f832ba6e1b5> > - Scritto da: maxsix> > > 1500000/100=15000 androidi gabbati.> > > > > > Mica male.> > > > > > E XXXXXXXXX ha puntualmente rispostoNon è lui.Arriva arriva, tranquillo.maxsixRe: Rende però eh
http://punto-informatico.it/b.aspx?i=4408455&m=4408556#p4408556ed5a5f85b0anuovo trojan bancario per Android
[img]http://cdn.grahamcluley.com/wp-content/uploads/2015/12/banking-trojan-horse.jpeg[/img]...quotidiano informatico
Gli utenti di Linux sono persone annoiate dalla società in cui vivono, cercano risposte altrove: nel movimento "free source" e nei valori che esso vuole (o vorrebbe) trasmettere. Amano scaricare i film e non hanno grande stima per il mondo lavorativo, anzi, spesso sono disoccupati (a volte si riuniscono in centri sociali). Non mostrano ideali forti, propositivi....Re: quotidiano informatico
Questo messaggio lo hai scritto mentre stai in bagno con una rivista XXXXX.Alvaro VitaliRe: quotidiano informatico
- Scritto da: Alvaro Vitali> Questo messaggio lo hai scritto mentre stai in> bagno con una rivista> XXXXX.Ah !! Conosci bene le abitudini di un linaro, quindi anche tu utente Linux... Allora poi quando esci dal bagno lascia pure dentro la rivista, qualche altro linaro del forum ti darà certamente il cambio....giggiRe: quotidiano informatico
- Scritto da: Alvaro Vitali> Questo messaggio lo hai scritto mentre stai in> bagno con una rivista> XXXXX.Eh già, perchè tu quando sei in bagno con una rivista XXXXX la prima cosa a cui pensi sono gli utenti linux....E quando trombi a cosa pensi ? A Mastro Torvaldo o a Riccardino Stalla-man ?peppeRe: quotidiano informatico
- Scritto da: peppe> Eh già, perchè tu quando sei in bagno con una> rivista XXXXX la prima cosa a cui pensiNon è fornito di alcun oggetto per poter effettuare l'operazione "pensa"...Re: quotidiano informatico
- Scritto da: Alvaro Vitali> Questo messaggio lo hai scritto mentre stai in> bagno con una rivista XXXXX.Ed era il momento in cui tu nascevi, poi eliminato dalla società tirando lo sciacquoneBuon viaggio st......rimediate please
9 di 10 commenti sono del COGLIONAZZO. Bannatelo! Mannaggia il XXXXX del diavolo immondo.maxzizzRe: rimediate please
- Scritto da: maxzizz> 9 di 10 commenti sono del COGLIONAZZO. Bannatelo!> Mannaggia il XXXXX del diavolo immondo.Ma se bannano il COGLIONAZZO poi nessuno viene più qui su PI a farsi quattro risateAlvaro VitaliRe: rimediate please
- Scritto da: Alvaro Vitali> Ma se bannano il COGLIONAZZO poi nessuno viene> più qui su PI a farsi quattro> risateFinché c'è panda c'è speranza ...che il divertimento continui...Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 25 ott 2017Ti potrebbe interessare