Bad Rabbit, il nuovo ransomware che sta colpendo l’Europa dell’est

Per rimuovere il malware gli hacker chiedono 0,05 Bitcoin, da pagare entro 40 ore. Qualche mese fa i precedenti, WannaCry e Petya

Un nuovo ransomware, soprannominato Bad Rabbit, ha colpito la Russia, l’Ucraina, la Germania e la Turchia martedì 24 ottobre. Il ransomware in questione (un ransomware è un tipo di malware che richiede un riscatto per riottenere l’accesso del dispositivo infettato) ricorda gli attacchi di WannaCry e Petya, che nei mesi scorsi hanno messo in ginocchio migliaia di aziende e persone in tutto il mondo. Al momento, la situazione è ancora poco chiara: non si sa chi sia l’autore dell’attacco, non si conosce l’identità di tutte le vittime e non è noto come e dove il malware abbia avuto origine.

I soggetti colpiti

Stando a quanto riporta la società di sicurezza russa Group-IB, Bad Rabbit ha colpito tre media russi, tra cui l’agenzia di stampa Interfax (la quale ha scritto su Twitter che i suoi server sono inattivi a causa di un cyberattacco). Anche l’aeroporto di Odessa, in Ucraina, martedì ha subito un cyberattacco e – sempre martedì – l’agenzia ucraina di emergenza informatica CERT-UA ha lanciato un allarme relativo a una nuova ondata di cyberattacchi. Il capo della cyberpolizia ucraina ha confermato a Reuters che dietro a questi attacchi c’è proprio Bad Rabbit e un portavoce di Group-IB ha detto che Bad Rabbit, «un nuovo gigantesco cyberattacco», ha colpito i media russi Interfax e Fontanka, l’aeroporto di Odessa, la metropolitana di Kiev e il Ministero delle Infrastrutture ucraino.

La Russia e il precedente di Petya

La società di sicurezza russa Kaspersky Lab ha affermato che la maggior parte degli attacchi sono avvenuti in Russia e che sono stati colpiti soggetti anche in Ucraina, Turchia e Germania. Kaspersky Lab ha definito Bad Rabbit «un attacco mirato contro reti d’impresa» e ha spiegato che usa metodi simili a quelli utilizzati durante l’attacco NotPetya – sebbene non possa confermare che i due attacchi siano collegati. L’azienda di sicurezza cecoslovacca ESET ha confermato che c’è una campagna ransomware in corso e ha detto che, almeno nel caso della metro di Kiev, l’attacco è una variante del ransomware Petya (NotPetya stesso era una variante di Petya).

Il modus operandi

Dopo avere infettato il dispositivo, Bad Rabbit fa apparire sullo schermo un messaggio in rosso su sfondo nero – combinazione di colori già usata per il ransomware NotPetya. Il messaggio con la richiesta di riscatto ordina alle vittime di loggarsi in un sito Tor (Tor è un sistema di anonimizzazione gratuito che permette di nascondere il proprio indirizzo IP e la propria identità in Rete) per pagare 0,05 Bitcoin (pari a circa 239 euro). Il sito mostra inoltre un conto alla rovescia di 40 ore, scadute le quali il prezzo della decrittazione aumenterà. Gli esperti di sicurezza sconsigliano sempre di non pagare il riscatto. Questo perché il pagamento incoraggia ulteriori attacchi, e perché non c’è alcuna garanzia che gli attaccanti rispettino la parola data e rimuovano il malware dal dispositivo.

L’origine del ransomware

Secondo un ricercatore di Proofpoint, Bad Rabbit si è diffuso da un finto programma di installazione di Adobe Flash Player. Kaspersky Lab concorda, e ha aggiunto che il file che ha lanciato il malware è stato distribuito attraverso legittimi siti d’informazione russi «minati». Bad Rabbit tenta inoltre di infettare i computer all’interno della stessa rete locale del dispositivo infettato tramite il protocollo di condivisione di dati di Windows SMB e lo strumento open source Mimikatz. Un ricercatore di McAfee ha detto che Bad Rabbit crittografa un’ampia gamma di file, tra cui .doc, .docx e .jpg. Inizialmente solo poche aziende antivirus hanno rilevato Bad Rabbit come malevolo, stando al sito di scansione antivirus online VirusTotal. «Il numero degli attacchi di ransomware è raddoppiato a livello mondiale nei primi sei mesi del 2017 rispetto al 2016, ma il 99% delle organizzazioni non ha ancora messo in atto le tecnologie base per prevenire questi tipi di attacchi», commenta Check Point Software Technologies, società israeliana specializzata in sicurezza informatica.
I riferimenti a Game of Thrones

Secondo alcuni esperti, Bad Rabbit contiene riferimenti a Game of Thrones – in particolare i nomi di tre draghi, Drogon, Rhaegal e Viserion. Gli hacker hanno inoltre inserito nel loro codice un riferimento al film del 1995 Hacker. Nell’elenco delle credenziali di default che il malware utilizza per colpire i computer, ci sono le seguenti password: amore, segreto, sesso, dio – ossia le quattro password più comuni secondo il film.