Ancora una volta Ucraina e Russia sono protagoniste dello scenario mondiale del cybercrime. Questa volta è il ramsomware Bad Rabbit ad alimentare una nuova perturbazione informatica. Secondo le notizie filtrate dalle aziende che si occupano di sicurezza, Bad Rabbit, ha colpito la metropolitana e il Ministero delle Infrastrutture di Kiev, oltre all’agenzia di stampa russa Interfax. Ma sembra che la minaccia sia ormai arrivata anche in Germania e Turchia.

In merito a Bad Rabbit la stessa Kaspersky ha fatto sapere che il “ransomware infetta i dispositivi attraverso diversi siti di news russi hackerati. Secondo i nostri dati, si tratta di un attacco mirato contro network aziendali, che usa metodi simili a quelli sfruttati da Expetr. Tuttavia, non possiamo confermare che sia legato a Expetr. Proseguiremo le nostre indagini”.

Come sottolineato anche da Eset, infatti, il ransomware si propaga con un metodo noto come “drive-by download”: siti popolari vengono compromessi dagli hacker con codice Javascript iniettato direttamente nell’Html. La risorsa infetta è in grado di capire lato server se l’utente può essere attaccato e, in automatico, aggiunge il contenuto maligno alla pagina. Il risultato è un popup che chiede alla potenziale vittima di aggiornare Flash Player. Una volta fatto click sul pulsante “Installa” viene avviato il download di un eseguibile (install_flash_player.exe), che altro non è che il dropper del ransomware, identificato con il nome Win32/Filecoder.D. A questo punto il blocco del computer è istantaneo, i file vengono cifrati e compare un messaggio che informa l’utente sulla procedura da seguire per rientrare in possesso della macchina. Il riscatto consiste nel pagamento di 0,05 bitcoin, al cambio attuale circa 235 euro, da versare su un dominio Tor. La schermata mostra anche un timer che avverte sul tempo rimanente prima che il prezzo salga, all’incirca 40 ore. Le società di sicurezza stanno testando l’esito della procedura e un ricercatore ha fatto sapere su Twitter di essere riuscito a sbloccare i file. Bad Rabbit, quindi, a differenza di Expetr non sembrerebbe un wiper: un malware che effettivamente rende inutilizzabile i dischi dei computer.   

Al momento il programma maligno avrebbe mietuto duecento vittime, ma il numero esatto è difficile da stabilire. Sulla pagina We Live Security di Eset è stata pubblicata una lista di tutti i siti compromessi. Per evitare che un’eventuale infezione si propaghi nella rete aziendale (anche se basterebbe non navigare sui portali indicati e non scaricare il dropper) si deve interrompere l’esecuzione di c:windowsinfpub.dat e c:Windowscscc.dat e disabilitare il servizio Wmi (Windows Management Instrumentation).

A differenza di Notpetya, chiarisce però Eset, Bad Rabbit non sfrutta alcuna vulnerabilità nota. Il ransomware spuntato a giugno era infatti riuscito a diffondersi su vasta scala grazie al bug insito nel protocollo Smb, tramite l’exploit di derivazione Nsa EternalBlue. Il nuovo programma maligno, pur avendo le capacità di propagarsi sfruttando Server Message Block, non si appoggia quindi a EternalBlue.