Martedì mattina, 24 ottobre 2017, le organizzazioni in Russia e Ucraina hanno riferito di essere state colpite da un focolaio ransomware che ha paralizzato le loro operazioni. Casi sporadici sono stati registrati anche in Turchia, Germania, Bulgaria e Giappone, secondo i rapporti di diverse fonti.
Il malware, autodenominato Bad Rabbit, è un codice ransomware progettato per crittografare e bloccare i file sugli endpoint, quindi richiedere il pagamento per il loro rilascio. Bad Rabbit è anche il nome di un sito Dark Web dove le vittime sono portate a pagare per avere i loro file sbloccati.
Al momento di questa scrittura, Bad Rabbit sembra aver colpito soprattutto le organizzazioni in Russia. Più specificamente, sta scoppiando sui media del paese. Nelle dichiarazioni rilasciate da alcune delle entità colpite, è stato riferito che i server erano fuori uso a causa dell’attacco in corso.
In Ucraina, l’attacco ha colpito organizzazioni di infrastrutture critiche nel settore dei trasporti. Una delle vittime è l’aeroporto di Odessa, che si trova nella terza città più grande del paese, causando ritardi nei voli a causa dell’elaborazione manuale dei dati dei passeggeri. L’Ucraina ha anche visto il suo sistema della metropolitana colpita, causando ritardi nei pagamenti sui terminali di servizio ai clienti, anche se i treni hanno continuato a funzionare normalmente.
Bad Rabbit è il terzo focolaio ransomware dirompente quest’anno, dopo i worm WannaCry e NotPetya che hanno colpito numerose organizzazioni nel secondo trimestre del 2017. Detto questo, la tecnica di propagazione di Bad Rabbit non si basa sugli stessi exploit, il che potrebbe renderlo più facile da contenere nel complesso.
Scarica la Guida alla risposta al ransomware da IBM INCIDENT RESPONSE SERVICES
La propagazione di Bad Rabbit
In base alle informazioni attualmente disponibili, a differenza della maggior parte dei ransomware motivati finanziariamente, Bad Rabbit non si diffonde via e-mail. Secondo IBM X-Force, che analizza miliardi di messaggi spam e malspam, Bad Rabbit non è stato inviato in una campagna e-mail. Alcune voci nella comunità della sicurezza ritengono che l’epidemia sia un attacco mirato che potrebbe essere stato mesi in preparazione, ma questo deve ancora essere confermato.
Per raggiungere gli endpoint degli utenti, gli operatori di Bad Rabbit hanno compromesso siti di notizie e media per reindirizzare i visitatori a pagine di destinazione dannose che controllano. Su queste pagine, agli utenti è stato consigliato di installare un aggiornamento di Adobe Flash, a quel punto un download dannoso ha avuto luogo, consegnando il malware dropper in quello che viene chiamato un attacco drive-by – non richiedendo alcuna azione per rilasciare un file nell’endpoint.
Quelli che sono andati avanti e hanno eseguito il file hanno inconsapevolmente scatenato il malware sui loro endpoint e visto i loro file criptati. La nota degli operatori del malware richiede 0,05 BTC di riscatto per sbloccare i file.
Secondo le informazioni della comunità della sicurezza, i siti web utilizzati per propagare il malware erano ospitati sugli stessi server che sono stati utilizzati per la distribuzione del malware NotPetya nel giugno 2017. Quella rete di siti web predeterminati è stata apparentemente impostata nel tempo dal luglio 2017.
Un accenno degno di nota da parte di un fornitore di sicurezza ha riferito che tutte le aziende sono state infettate intorno allo stesso tempo. Quel fornitore ha ipotizzato che gli aggressori potrebbero essere già in alcuni dei sistemi delle vittime. In questo caso, gli aggressori non sarebbero in grado di lanciare direttamente il malware?
Questa domanda solleva un’altra opzione: È possibile che almeno un’email mirata sia stata inviata ad ogni vittima con un’esca per portarla ad uno dei siti multimediali infetti in un attacco stile “watering hole”? Una volta che c’era un utente infetto, il malware potrebbe essersi propagato dal paziente zero.
Muoversi attraverso le reti
Bad Rabbit si diffonde attraverso le reti utilizzando alcuni strumenti che lo aiutano a raggiungere altri endpoint. Secondo IBM X-Force, il malware utilizza una funzione SMB di Windows, ma non è collegato al metodo precedentemente utilizzato dall’exploit EternalBlue. I nostri ricercatori stanno anche vedendo il malware emettere richieste HTTP OPTIONS sulla porta 80 per /admin$, suggerendo l’uso di WebDAV come parte dello schema.
Inoltre, Bad Rabbit sembra sfruttare lo strumento Mimikatz – che è stato costruito come strumento di test e non per scopi malevoli, ma è spesso usato dagli attaccanti – per recuperare le password di altri utenti sulla rete. Il malware aveva anche alcune password di base hardcoded. Stranamente, queste erano presumibilmente le password più popolari utilizzate, secondo il film del 1995 “Hackers”.
Richiesta di pagamento
Bad Rabbit richiede 0,05 BTC di riscatto per rilasciare il blocco posto sui file criptati. Al momento di questo scritto, 1 BTC vale circa 5.450 dollari, il che significa che la richiesta di riscatto iniziale sarebbe di circa 273 dollari. La nota di riscatto appare sullo schermo dell’endpoint infetto, indirizzando l’utente ad accedere a un servizio web dedicato.
Una volta sul sito web dell’attaccante, che è ospitato sulla rete Tor per mantenere la comunicazione anonima, la vittima viene avvertita che ha solo circa 41 ore per pagare. La vittima viene poi mostrato un conto alla rovescia che attende una “password” – la chiave di decrittazione per sbloccare i suoi file. Al momento di questo avviso, non è stato confermato che gli aggressori possono effettivamente decifrare i file.
Una situazione in corso
Gli attacchi Bad Rabbit si stanno sviluppando man mano che i fornitori di sicurezza rilasciano più informazioni e le organizzazioni imparano di più e contengono gli attacchi. Se sei un cliente IBM, vai su X-Force Exchange per una pagina dedicata alla risposta agli attacchi Bad Rabbit con i prodotti IBM Security. Per gli aggiornamenti tecnici direttamente da IBM Security’s X-Force Research, si prega di accedere alla nostra raccolta X-Force Exchange, dove i nostri team di ricerca e risposta agli incidenti forniranno informazioni man mano che questa situazione si sviluppa.
Tutte le organizzazioni sono fortemente consigliate di informare i dipendenti sullo scoppio, spiegare il flusso di infezione e rimanere estremamente vigili su Bad Rabbit nelle prossime ore e giorni.
Bad Rabbit non ha colpito le aziende negli Stati Uniti al momento di questo comunicato, anche se un fornitore di antivirus ha indicato che la sua telemetria sta mostrando alcune infezioni negli Stati Uniti, dato questo, se si verifica qualsiasi segno di infezione, informare l’Internet Crime Complaint Center (IC3) dell’FBI al momento della scoperta.
Fuori dagli Stati Uniti, le organizzazioni sono incoraggiate a informare il loro CERT (Community Emergency Response Team) e la polizia per la criminalità elettronica su qualsiasi infezione collegata alla campagna Bad Rabbit.
Se credi che la tua azienda sia stata colpita e hai bisogno di assistenza, chiama la tua IBM X-Force 24×7 Incident Response Hotline:
IRIS EMEA 24×7 Hotline
UAE: (+971) 800 044 424 17
IRIS North America 24×7 Hotline
USA: (+1) 888 241 9812
Danimarca: (+45) 4331 4987
Finlandia: (+358) 9725 22099
Latvia: (+371) 6616 3849
Norvegia: (+47) 2302 4798
Arabia Saudita: (+966) 800 844 3872
Arabia Saudita: (+966) 800 850 0399
Svezia: (+46) 8502 52313
SVEZIA: (+44) 20 3684 4872
Non pagare gli aggressori di ransomware
Secondo un sondaggio IBM, il 70% delle aziende precedentemente colpite da ransomware ha indicato di aver pagato il riscatto per recuperare i dati aziendali. Di questa parte, il 50 per cento ha pagato più di 10.000 dollari, e il 20 per cento ha pagato più di 40.000 dollari. È importante notare che pagare gli aggressori non garantisce il recupero dell’accesso.
Le organizzazioni e gli individui colpiti da Bad Rabbit sono invitati a non pagare gli aggressori. Al momento di questa scrittura, i fornitori di antivirus hanno rilasciato le firme e alcune opzioni di decrittazione che possono aiutare a sbloccare i file crittografati.
L’attacco è stato molto probabilmente progettato per la distruzione piuttosto che il guadagno finanziario. Ulteriori consigli sul contenimento e sulla copertura dei prodotti IBM saranno resi disponibili nelle prossime ore.
Per consigli generali su come mantenere i tuoi sistemi al sicuro dal ransomware, consulta la nostra Ransomware Response Guide.