Primo Maggio! Primo Maggio! Un altro focolaio di un nuovo ransomware ha colpito le principali infrastrutture dell'Ucraina e della Russia, tra cui diverse organizzazioni di trasporto e molte organizzazioni governative, e si chiama "Bad Rabbit" .
Secondo i resoconti dei media, molti computer sono stati crittografati con questo attacco informatico. Fonti pubbliche hanno confermato che i sistemi informatici della metropolitana di Kiev insieme all'aeroporto di Odessa e ad altre numerose organizzazioni russe sono stati colpiti.
Il malware utilizzato per questo attacco informatico era "Disk Coder.D", una nuova variante del ransomware che popolarmente veniva chiamato "Petya". Il precedente attacco informatico di Disk Coder ha lasciato danni su scala globale nel giugno 2017.
ESET su Bad Rabbit.
Il sistema di telemetria di ESET ha segnalato numerose occorrenze di Disk Coder. D in Russia e Ucraina, tuttavia, ci sono rilevamenti di questo attacco informatico su computer dalla Turchia, dalla Bulgaria e anche da alcuni altri paesi.
Un'analisi completa di questo malware è attualmente in fase di elaborazione da parte dei ricercatori sulla sicurezza di ESET. Secondo i loro risultati preliminari, Disk Coder. D utilizza lo strumento Mimikatz per estrarre le credenziali dai sistemi interessati. Le loro scoperte e analisi sono in corso e ti terremo informato non appena saranno rivelati ulteriori dettagli.
Il sistema di telemetria ESET informa inoltre che l'Ucraina rappresenta solo il 12, 2% rispetto al numero totale di volte in cui ha visto l'infiltrazione di coniglio cattivo. Di seguito sono riportate le statistiche rimanenti:
- Russia: 65%
- Ucraina: 12, 2%
- Bulgaria: 10, 2%
- Turchia: 6, 4%
- Giappone: 3, 8%
- Altro: 2, 4%
La suddetta distribuzione di paesi è stata di conseguenza compromessa da Bad Rabbit. È interessante notare che tutti questi paesi sono stati colpiti allo stesso tempo. È molto probabile che il gruppo avesse già un piede all'interno della rete delle organizzazioni interessate.
Il come.
Il metodo di distribuzione utilizzato per Bad Rabbit è "Download drive-by". In termini più semplici, un download drive-by è un pop-up di download non intenzionale mostrato su siti Web o e-mail. In questi casi, il "fornitore" afferma che l'utente ha "acconsentito" a quel particolare download, sebbene l'utente in realtà non fosse a conoscenza di aver avviato un download di software indesiderato o dannoso.
Allo stesso modo, con il caso Bad Rabbit, quello che abbiamo visto fino ad ora è un pop-up che chiede di scaricare una versione aggiornata di Adobe Flash Player come mostrato di seguito.
Non appena qualcuno preme il pulsante di download, viene scaricato un file eseguibile. Questo file eseguibile, ovvero install_flash_player.exe, è il dropper di Bad Rabbit. Alla fine, il computer si blocca e mostra la nota di riscatto come segue.
Inoltre, la pagina di pagamento di Bad Rabbit è simile a questa.
Di seguito sono riportati i siti Web compromessi.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // an-crimearu
- hxxp: //www.t.ksua
- hxxp: // più-dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
E adesso?
Oggi gli attacchi informatici si sono evoluti in molti volti. Internet non è più un luogo sicuro, motivo per cui si consiglia vivamente l'uso di una VPN autentica; soprattutto quando ci si collega a una rete Wi-Fi pubblica.
Crea un tunnel crittografato in modo sicuro tra te e Internet con il provider di servizi VPN leader del settore, Ivacy VPN e prendi il controllo della tua presenza online e salvaguarda i tuoi preziosi dati.
