Alfonso Maruccia

BadRabbit, nuova epidemia da ransomware in corso

La nuova minaccia prende di mira soprattutto i PC russi, dicono i ricercatori, e tutto lascia supporre che gli autori abbiano qualche collegamento con i criminali coinvolti nelle epidemie che hanno fatto notizia nei mesi passati

BadRabbit, nuova epidemia da ransomware in corsoRoma - In queste ore un nuovo ransomware chiamato BadRabbit sta facendo furore nei Paesi dell'Est, con gli attacchi concentrati soprattutto in Russia (Ucraina, Turchia e Germania a seguire) contro i network aziendali. I metodi di propagazione ricordano molto, troppo da vicino quelli già adoperati dai ransomware che hanno fatto furore non molto tempo addietro, anche se gli eventuali collegamenti tra gli autori dei diversi attacchi sono ancora tutti da verificare. Una curiosità emersa da una prima analisi del codice è che si tratti di fan della serie TV "Il Trono di Spade", con citazione dei nomi dei tre draghi (Drogon, Viserion e Rhaegal) e del personaggio Verme Grigio (GrayWorm).

BadRabbit, nomi dei draghi de Il Trono di Spade

BadRabbit, citazione del personaggio Verme Grigio

Una delle vittime eccellenti di BadRabbit è al momento l'agenzia di stampa russa Interfax, dove i server attaccati sono ora in via di ripristino secondo quanto sostiene l'azienda; altri casi di infezione sono stati riscontrati in Ucraina presso l'aeroporto di Odessa, la metropolitana di Kiev e il Ministero delle Infrastrutture.



BadRabbit si diffonde tramite l'invito a installare un aggiornamento per Flash Player, un pacchetto malevolo che richiede l'esecuzione manuale da parte dell'utente e che, stando ai ricercatori di Group-IB, è stato distribuito tramite alcuni siti compromessi di news in lingua russa.


Una volta preso il controllo del sistema, il ransomware usa il tool open source Mimikatz per provare a estrarre le credenziali di accesso ai server dalla memoria del PC; si tratta dello stesso sistema adoperato dall'epidemia di NotPetya in estate, così come è il tentativo di sfruttare le connessioni SAMBA (SMB) per diffondersi attraverso la rete locale. In alcuni casi BadRabbit ha fatto scattare l'allarme dei software di sicurezza in merito all'uso del famigerato exploit EternalBlue, anche se per ora non esistono prove dell'uso effettivo della tecnica di hacking di NSA.

BadRabbit

Meccanismi di propagazione a parte, il nuovo ransomware si comporta esattamente come quelli vecchi cifrando i file sul disco (archivi compressi, applet java, documenti Word e molto altro) e modifica il Master Boot Record del disco fisso. Al successivo avvio, il sistema visualizza una schermata di istruzioni con l'invito a visitare un servizio nascosto (.onion) ospitato dalla darknet di Tor da cui ricevere una password, previo pagamento (in crescita costante) in 0,05 Bitcoin, con cui sbloccare il sistema infetto.


Le analisi sul codice e le caratteristiche di BatRabbit sono ancora in corso, e secondo Kaspersky basta evitare di mandare in esecuzione i due file malevoli scaricati sul sistema (C:\Windows\infpub.dat e C:\Windows\cscc.dat) per evitare l'infezione. In effetti, al momento del lancio il ransomware potrebbe espressamente richiedere la disabilitazione del software antivirale installato. Mai come in questo caso, chi viene infettato se l'è insomma andata a cercare.

Alfonso Maruccia

Fonte immagini: 1, 2, 3
Notizie collegate
  • SicurezzaWanaKiwi, il tool definitivo per decrittare WannaCry?Un team di ricercatori francesi ha trovato il modo di estrarre le chiavi di decrittazione del ransomware dalla RAM delle macchine infette, ma occorre farlo senza riavviare il sistema o risulta inutile. E intanto si parla di Adylkuzz come erede di WannaCry: sfrutta la vulnerabilitÓ MS17-010, ma per minare criptovalute
  • AttualitàRansomware, minacce e soluzioniMicrosoft annuncia l'implementazione di nuove misure di sicurezza pensate per bloccare la piaga dei malware cripta-file, mentre nel mondo reale NotPetya continua a far danni e ispira nuovi "emuli". E ce l'hanno tutti con l'Ucraina
  • SicurezzaNotPetya, per le vittime c'è speranzaPositive Technologies ha trovato un modo per decifrare i dati sfruttando alcuni errori commessi dagli autori del virus. Tuttavia non Ŕ ancora efficace al 100 per cento. Nel frattempo l'autore del Petya originale rende pubblica la sua chiave di cifratura con l'intento di aiutare
57 Commenti alla Notizia BadRabbit, nuova epidemia da ransomware in corso
Ordina
  • Le solite fregature per i sw closed quindi nessuna novità

    Ma quante compilation di schiaffazzi vi servono per svegliarvi? non sieti stufi di pigliare schiaffoni a gogo?

    Uno piglia uno schiaffone e poi piange, fa qualcosa, ma voi mi sembrate dei vegetali, delle piante
    non+autenticato
  • Cosaaaaaaaaaaa?Cheeeeeeeeeeeeeeeeeee?
    non+autenticato
  • - Scritto da: Sveglia
    > Le solite fregature per i sw closed quindi
    > nessuna
    > novità
    > Ma quante compilation di schiaffazzi vi servono
    > per svegliarvi? non sieti stufi di pigliare
    > schiaffoni a
    > gogo?
    > Uno piglia uno schiaffone e poi piange, fa
    > qualcosa, ma voi mi sembrate dei vegetali, delle
    > piante

    Bah io uso sia Linux che Win, di Linux ne ho provati diversi e spesso impazzisci per dover scaricare il programma che vuoi e non va perche' ha problemi con i pacchetti installati, non ci sono per quella versione ecc..
    E il nome del servizio grafico e' cambiato e non ti dicono il nome e te lo devi cercare, se scarichi per giocare l'architettura 32bit, devi forzxa l'installazione per alcuni pacchetti di aggiornamento, se voglio sapere quanto consuma la mia CPU con Linux non si puo' se e' Desktop che non ha batteria per questione Intel, quando con Win ci voglio 3 secondi, potrei continuare a infinito con 4 mesi di test su varie distro, ecc...
    E poi alla fine, ad esempio, se voglio giocare un gioco recente in 10 secondi senza problemi devo usare Win. ^_^
    Ripeto, io li uso entrambi, ma ogni SO ha i suoi pregi e difetti.
    non+autenticato
  • ROFL:ROFL:ROFL:ROFL
             ___^___ _
    L    __/     [] \    
    LOL===__           \
    L     \___ ___ ___]
                 I   I
             ----------/


    Che cazzo ho lettoA bocca apertaA bocca apertaA bocca apertaA bocca aperta !!!!!!!
    non+autenticato
  • - Scritto da: Mao99
    [CUT]
    > Ripeto, io li uso entrambi,
    [/CUT]

    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH
    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAH

    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
    non+autenticato
  • Ho provato ad installare quella m*rd* di winX e ci ha impiegato 3 giorni per fare gli aggiornamenti.
    Una volta completata l'installazione il sistema risultava instabile: schermate azzurre, programmi in freeze, non si spegneva se non togliendo il cavo di alimentazione e ci metteva 10 anni ad accendersi.
    Su winsozz programmi un minimo decenti non se ne trovano, solo m*rd* closed, tra l'altro instabile o con enormi problemi.
    Appena installato il browser, vado su un sito a caso e mi becco subito un malware: pc tutto infettatto e criptato; risultato: giramento di c*gli*ni pazzesco.

    Poi per fortuna un giorno incontro un mio amico che mi ha aperto gli occhi, mi dice: "ma installati linux", "ok, proviamo", dico io.
    Eh...raga...tutta un'altra storia: installazione impeccabile, stabilità massima, programmi preinstallati che vanno che è una meraviglia e sono anche migliori dell'equivalente winsozz; poi a livello di programmi praticamente trovi tutto, e in più sono meglio e sono gratis.

    Per curiosità ho provato a ritornare sul sito a caso che avevo visitato e il malware col cavolo che me lo sono beccato.

    Conclusione: cari winari, io uso linux, posso navigare dove mi pare e piace in tranquillità, anche sul sito a caso che avevo provato e che mi aveva infettao di malware nelle parti intime del pc e non solo: www.linarigay.orgia

    Winari, prendetevelo in quel posto !!!
    non+autenticato
  • La realtà è che sei il classico utonto con hardware di monnezza. Fatti un PC serio e immpara ad usarlo, mai preso un Ramsoware, il mio PC con winzoz come lo chiami tu è rock solid. Sei un utentino senza offesa. Installati Sbubbuntu come quelli che si fanno i Mac per non prendere virus. Auguri
    non+autenticato
  • - Scritto da: C.A.
    Quoto C.A.
    Io uso sia Linux che Windows. Fa ridere che ci sia ancora in giro gente che dice di non prendere virus con Linux o Mac, sono tutti SO alla fine, ma loi leggete le info sulla sicurezza?
    Linux e' ottimo lo uso 3/4 del mio tempo, è veloce e stabile, ma non e' facile da usare, quindi mi chiedo... se non riesci a far funzionare bene Windows.. immagino come te la cavi con Linux che è tutto un riga comandi dal Terminal..
    Mi sa che ha ragione chi ti ha risposto prima di Me (C.A.).
    non+autenticato
  • - Scritto da: Mao99
    > - Scritto da: C.A.
    > Quoto C.A.
    > Io uso sia Linux che Windows. Fa ridere che ci
    > sia ancora in giro gente che dice di non prendere
    > virus con Linux o Mac, sono tutti SO alla fine,
    > ma loi leggete le info sulla
    > sicurezza?
    > Linux e' ottimo lo uso 3/4 del mio tempo, è
    > veloce e stabile, ma non e' facile da usare,
    > quindi mi chiedo... se non riesci a far
    > funzionare bene Windows.. immagino come te la
    > cavi con Linux che è tutto un riga comandi dal
    > Terminal..
    > Mi sa che ha ragione chi ti ha risposto prima di
    > Me
    > (C.A.).

    Piantala di dire cazzate!
    non+autenticato
  • - Scritto da: Mao99
    > - Scritto da: C.A.
    > Quoto C.A.
    > Io uso sia Linux che Windows. Fa ridere che ci
    > sia ancora in giro gente che dice di non prendere
    > virus con Linux o Mac, sono tutti SO alla fine,
    > ma loi leggete le info sulla
    > sicurezza?
    > Linux e' ottimo lo uso 3/4 del mio tempo, è
    > veloce e stabile, ma non e' facile da usare,
    > quindi mi chiedo... se non riesci a far
    > funzionare bene Windows.. immagino come te la
    > cavi con Linux che è tutto un riga comandi dal
    > Terminal..
    > Mi sa che ha ragione chi ti ha risposto prima di
    > Me
    > (C.A.).

    Sono d'accordo. Ho un PC Linux che va benissimo; certo, non è facile da usare: l'installazione è ostica, per esempio...metti che non hai il driver di un device...bhè in quel caso o te lo scrivi o ti attacchi; poi le applicazioni non ci sono e se ci sono non sono al livello di quelle per windows, nel senso che sono molto indietro, quindi se le vuoi portare al livello di quelle per windows ti devi scaricare i sorgenti e modificarli a mano per inserire le funzionalità che ti interessano.
    Le operazioni di amministrazione le devi fare da linea di comando e, sono d'accordo, comunque devi stare attento ai virus e ai malware che al giorno d'oggi non guardano in faccia a nessuno, soprattutto con l'arrivo della stagione fredda.
    Poi ho un pc windows che però usa mia moglie con cui praticamente ci fai di tutto e di più. Intendo con mia moglie.
    E' anche vero che il pc con windows lo usa mia lei perchè....bhè...mica posso dire a mia moglie di fare tutto da linea di comando o di scaricarsi i sorgenti e modificarli o di scrivere il driver per la stampante; il suo compito è lavare, stirare, cucinare e tenere in ordine la casa..... ma scherziamo...
    non+autenticato
  • - Scritto da: C.A.
    > La realtà è che sei il classico utonto con
    > hardware di monnezza. Fatti un PC serio e immpara Deluso
    > ad usarlo,

    E tu IMPARA l'italiano !!
    non+autenticato
  • - Scritto da: utente di pc anonimo
    > Ho provato ad installare quella m*rd* di winX e
    > ci ha impiegato 3 giorni per fare gli
    > aggiornamenti.
    > Una volta completata l'installazione il sistema
    > risultava instabile: schermate azzurre, programmi
    > in freeze, non si spegneva se non togliendo il
    > cavo di alimentazione e ci metteva 10 anni ad
    > accendersi.
    > Su winsozz programmi un minimo decenti non se ne
    > trovano, solo m*rd* closed, tra l'altro instabile
    > o con enormi
    > problemi.
    > Appena installato il browser, vado su un sito a
    > caso e mi becco subito un malware: pc tutto
    > infettatto e criptato; risultato: giramento di
    > c*gli*ni
    > pazzesco.
    >
    > Poi per fortuna un giorno incontro un mio amico
    > che mi ha aperto gli occhi, mi dice: "ma
    > installati linux", "ok, proviamo", dico
    > io.
    > Eh...raga...tutta un'altra storia: installazione
    > impeccabile, stabilità massima, programmi
    > preinstallati che vanno che è una meraviglia e
    > sono anche migliori dell'equivalente winsozz; poi
    > a livello di programmi praticamente trovi tutto,
    > e in più sono meglio e sono
    > gratis.
    >
    > Per curiosità ho provato a ritornare sul sito a
    > caso che avevo visitato e il malware col cavolo
    > che me lo sono
    > beccato.
    >
    > Conclusione: cari winari, io uso linux, posso
    > navigare dove mi pare e piace in tranquillità,
    > anche sul sito a caso che avevo provato e che mi
    > aveva infettao di malware nelle parti intime del
    > pc e non solo:
    > www.linarigay.orgia
    >
    > Winari, prendetevelo in quel posto !!!
    Bella trollatona
  • Gli utenti che hanno già installato Fall Creators Update sono già protetti da questa minaccia e da quelle future grazie alla tecnologie avanzate di protezione dai ransom introdotte in Windows Defender

    Saluti da P4
    non+autenticato
  • Spero tu abbia ragione.
    Nel frattempo, io quando posso uso altro e faccio usare altro.
    non+autenticato
  • - Scritto da: P4__
    > Gli utenti che hanno già installato Fall Creators
    > Update sono già protetti da questa minaccia e da
    > quelle future grazie alla tecnologie avanzate di
    > protezione dai ransom introdotte in Windows
    > Defender

    Peccato che attivando questa funzione si ottiene un effetto collaterale non da poco: non si riescono piu' ad unzippare i files nella cartella Documenti.
  • "BadRabbit si diffonde tramite l'invito a installare un aggiornamento per Flash Player" Le notifiche di aggiornamenti non arrivano sul browser o nella mail! Possibile che ci sia gente così sprovveduta?? Svegliaaaaaaaaaaa
    non+autenticato
  • !Il commento contiene una parola troppo lunga.
    Svegliaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!
    non+autenticato
  • E l'invito da dove viene? Ti chiama per telefono il virus albanese? Oppure ti compare un pop-up mentre navighi??
    non+autenticato
  • - Scritto da: invito in albania
    > E l'invito da dove viene? Ti chiama per telefono
    > il virus albanese? Oppure ti compare un pop-up
    > mentre
    > navighi??

    No, arriva un rappresentante degli hacker a casa tua a mostrarti il catalogo dei malware, tu scegli quello che ti piace e poi ti arriva a casa l'invito.
    E' solo per clienti selezionati, mica per tutti.
    non+autenticato
  • - Scritto da: peppino
    > - Scritto da: invito in albania
    > > E l'invito da dove viene? Ti chiama per
    > telefono
    > > il virus albanese? Oppure ti compare un
    > pop-up
    > > mentre
    > > navighi??
    >
    > No, arriva un rappresentante degli hacker a casa
    > tua a mostrarti il catalogo dei malware, tu
    > scegli quello che ti piace e poi ti arriva a casa
    > l'invito.
    >
    > E' solo per clienti selezionati, mica per tutti.

    ah ah ah ah ah ah ah ah occazzo muoro !!!! aha ah ah ah ah ah ah
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)