Quanto sono importanti per voi i file che tenete conservati nei vostri dispositivi?
Se doveste attribuire loro un prezzo, quale sarebbe?
Infine, se qualcuno dovesse “prenderli in ostaggio”, quanto paghereste per riaverli indietro?

Gli hacker vi mettono alla prova nel caso in cui riescano a sottrarre tutti i file salvati nei vostri PC, tablet o smartphone. Per fare ciò si servono di un particolare tipo di malware che prende il nome di ransomware (dall’inglese ransom, riscatto). Si tratta di software malevoli che criptano i vostri file. In questo modo non potete più accedervi a meno che non paghiate per farveli decriptare.

ransomware bad rabbit

Si tratta di software malevoli che criptano i vostri file.
In questo modo non potete più accedervi a meno che non paghiate per farveli decriptare.

A differenza di altri tipi di malware che agiscono nell’ombra, i ransomware generalmente mostrano subito i segnali del loro attacco. Infatti, i ransomware mostrano un messaggio in cui si chiede un riscatto per riavere indietro i dati. Considerato che spesso e volentieri i cybercriminali vogliono farsi pagare in bitcoin, nel messaggio di riscatto sono presenti anche istruzioni su come effettuare pagamenti in criptovalute.

Uno di questi ransomware sette anni fa ha scatenato il panico in Russia e in Ucraina, ma anche in Germania, Turchia, Bulgaria e Giappone.
Il suo nome è Bad Rabbit e in questo articolo vedremo le sue origini e quali modalità d’attacco ha saputo sfruttare.

  1. Origini di Bad Rabbit
  2. Come si diffonde il ransomware
  3. Da chi è composta la cybergang?
  4. Come fare a proteggersi dagli attacchi ransomware?

Le origini di Bad Rabbit

Nato dalla costola di un altro famoso ransomware, NotPetya, Bad Rabbit ha fatto un vero e proprio debutto coi fiocchi nell’ottobre del 2017 colpendo importanti società ed enti governativi collocati nel territorio dell’est Europa. Tra le vittime note di questo attacco abbiamo:

  • Le agenzie di stampa russe Interfax e Fontanka;
  • I sistemi di pagamento della metropolitana di Kiev;
  • L’Aeroporto Internazionale di Odessa;
  • Il Ministero delle Infrastrutture ucraino.

Come si diffonde il ransomware

Il mezzo di diffusione di Bad Rabbit è alquanto subdolo: il ransomware infatti ricorre ad una tecnica definita drive-by download, ovvero download nascosto. Ecco come opera:

  1. Il malware sfrutta siti web vulnerabili per infiltrarsi al loro interno iniettando uno script malevolo nel codice HTML del sito stesso o in alcuni dei suoi file .js (JavaScript).
  2. Utilizzando poi le vulnerabilità del sistema operativo Windows, il ransomware si diffonde a macchia d’olio.
  3. Una volta insinuatosi all’interno del sito, Bad Rabbit ha bisogno di accedere ai dati contenuti nel PC del malcapitato utente.
    Per farlo si camuffa da aggiornamento di Adobe Flash Player. L’utente che visita il sito compromesso viene quindi invitato da una finestra pop-up a scaricare l’aggiornamento.
  4. Se l’utente cade nel tranello e accetta, si avvia il download di Bad Rabbit del file eseguibile chiamato install_flash_player.exe.
  5. Una volta aperto, il ransomware scarica l’ultima parte del virus per poi iniziare la sua esecuzione.
  6. Tutti i processi di sicurezza vengono disabilitati, dopodiché viene installato un programma di crittografia open source chiamato DiskCryptor (che chiunque può scaricare gratuitamente da Internet).
  7. Successivamente viene pianificata l’esecuzione del payload principale.
  8. Una volta riavviato il computer, i file al suo interno vengono criptati con chiavi RSA 2048.
    Contemporaneamente, Bad Rabbit parte anche alla ricerca di altre vulnerabilità da sfruttare per diffondersi attraverso altri dispositivi via Internet.
  9. Infine, installa il proprio bootloader (il programma che si occupa di avviare il sistema operativo) e riavvia nuovamente il PC per mostrare questo messaggio che recita:

bad rabbit ransomware note

Abbiamo oscurato il link che rimanda al data leak site di Bad Rabbit ransomware ,a nel messaggio precedente, il malware richiede alle vittime di recarsi sul loro portale.

Si tratta di sito web .onion, accessibile tramite Tor Browser e una key univoca per accedere al portafoglio bitcoin in cui va effettuato il pagamento.
Il prezzo per recuperare i propri file in questo caso è fissato a 0.05 bitcoin (che durante il 2017 erano valutati a più o meno 280 dollari), ma aumenta se non si paga entro quarantotto ore. La cifra è relativamente bassa, se paragonata a quella richiesta da altri ransomware negli ultimi anni.

Da chi è composta la cybergang?

A distanza di anni non si conoscono ancora gli autori Bad Rabbit.
Alcuni credono che siano gli stessi hacker appartenenti al gruppo che ha diffuso NotPetya, considerato che entrambi le minacce presentano diversi punti in comune.

L’unica cosa che si può affermare è che i membri della cybergang fanno spesso uso di riferimenti alla serie fantasy Game of Thrones.
Nel codice malware, infatti, sono presenti citazioni a Grey Worm e Daenerys’s dragons, due personaggi della celeberrima serie di George Martin.

Come fare a proteggersi dagli attacchi ransomware?

Per fortuna ad oggi non si hanno notizie di nuovi attacchi Bad Rabbit, ma non si può affermare che il ransomware sia sparito dalla circolazione.
Adobe Flash Player è fuori supporto da tre anni, quindi il processo di infezione del cryptovirus dev’essere necessariamente mutato.
Ci sono tuttavia molti altri modi con cui ingannare gli utenti per far sì che scarichino Bad Rabbit o un qualsiasi altro ransomware.

Alcuni consigli efficaci

  • Non aprite allegati di email provenienti da sconosciuti con estensioni “.exe”
  • Evitate di scaricare programmi da siti web non ufficiali
  • Prestate attenzione a finestre pop-up che vi dicono di aggiornare software o che avete vinto un premio.
  • Verificate sempre la natura dei siti web che visitate.
  • Ricorrete alla protezione di un software antivirus con un’estensione antiransomware incorporata.
  • Tenete sempre il vostro sistema operativo e i vostri programmi aggiornati.