Bad Rabbit, dalla Russia con furore

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Torna la minaccia ransomware con Bad Rabbit probabile evoluzione di Not-Petya. Si è diffuso in Russia e Ucraina, ma minaccia anche Germania e Turchia. I consigli degli esperti e come evitare l’infezione

Un nuovo malware si sta diffondendo per l’Europa. Sembra trattarsi di un’evoluzione pericolosa di Not-Petya, quindi di un ransomware. Il bubbone pestifero è eploso in Russia e in Ucraina, ma sembra abbia già attaccato anche Turchia e Germania.
Il malware avrebbe attaccato inizialmente il Ministero delle infrastrutture ucraino e quindi il sistema dei trasporti pubblici di Kiev, mentre in Russia il servizio di news Interfax ha subìto dichiarato di essere rimasto contagiato.

Ne parla Kaspersky – concorde con ESET e Proofpoint tra i primi a svelare il malware (battezzato così proprio dai ricercatori) come un’evoluzione appunto di Not-Petya o EXPetr – che notifica come anche Fontanka.ru (news online) sia rimasto infettato.

Di mira principalmente i siti di news e informazione e le reti aziendali su una falsariga di attacco del tutto simile a quella dei malware citati.

Bad Rabbit
Bad Rabbit – La schermata dell’infezione con il conto alla rovescia 

Bad Rabbit si propaga con la collaborazione delle vittime potenziali chiamate a un’operazione di download che attraverso un installer Adobe Flash infetta i computer dei malcapitati, quindi non si tratta di un’infezione che sfrutta exploit. Il malware contiene poi riferimenti e citazioni relativi alla saga Game of Thrones.

Quello che capita però non è per nulla mitologico. Il computer infettato si collega un dominio Tor per ricevere la richiesta di riscatto in bitcoin per un importo di circa 276 dollari da pagare sul sito http://caforssztxqzf2nm[.]onion, mentre la URL attraverso cui il malware è distribuito è hxxp://1dnscontrol[.]com/flash_install.php ovviamente in cambio della liberazione dei dati, ma parte anche un conto alla rovescia (circa 40 ore), per cui se si decide di tergiversare il prezzo del riscatto sarà destinato a salire.

Al momento si parla di oltre duecento vittime complessive, secondo Kasperksy non è ancora chiara la fonte dell’attacco, mentre è disponibile online una lista dei siti compromessi e quindi infettanti. Invece ecco qui di seguito i rimedi immediati da adottare per evitare di rimanere vittime di Bad Rabbit.

Bisogna bloccare l’esecuzione dei file c:\windows\infpub.dat e c:\Windows\cscc.dat e disabilitare il servizio WMI per impedire la propagazione in rete. Kaspersky specifica inoltre la più semplice procedura per gli utilizzatori dei propri prodotti System Watcher e Kaspersky Security Network, che devono semplicemente assicurarsi di averli in esecuzione aggiornati.

Inutile dire che l’unica cosa da non fare è pagare il riscatto, cedere al ricatto non garantisce per nulla di tornare a disporre dei propri dati e contribuisce alla diffusione dei ransomware.

WHITE PAPER: Sei interessato ad approfondire l’argomento?  Scarica il whitepaper: Sconfiggere il ransomware in 6 mosse