• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • AI: costruirla partendo dai dati in tempo reale
    • IA e personalizzazione delle esperienze digitali
    • Il digitale in Italia raccoglie i frutti seminati dall’AI
    • RETN annuncia una nuova tratta ad alte prestazioni tra Milano e Padova
    • Cloud: cosa sta cambiando con l’AI?
    • Cloud security: un acceleratore verso crescita e innovazione
    • Vertiv Academy: il training center di Vertiv per gli ingegneri in EMEA
    • Continuità Digitale: leva strategica per l’evoluzione dell’A&D
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Categorie Funzionali»Posizione Home-Page»Bad Rabbit ancora in agguato

    Bad Rabbit ancora in agguato

    By Redazione LineaEDP09/11/20175 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Una nuova ondata ransomware in Europa?

    Nelle scorse settimane un nuovo ransomware denominato Bad Rabbit ha colpito Russia, Ucraina, Turchia, Germania, Bulgaria, USA e Giappone. Russia e Ucraina hanno subito l'attacco maggiore, poiché l'infezione è partita da alcuni siti Web di notizie russi hackerati. Le agenzie media russe Interfax e Fontanka, nonché le organizzazioni per il trasporto in Ucraina tra cui l'aeroporto di Odessa, la metropolitana di Kiev e il Ministro delle infrastrutture locale sono stati i primi a essere infettati.

    Bad Rabbit si basa su codice NonPetya o exPetr, tuttavia risulta notevolmente riprogettato, nonostante il comportamento e gli effetti reali dell'infezione siano rimasti quasi inalterati. Nello stesso momento si nota che include alcune parti di altri ransomware, per esempio gli approcci utilizzati in HDDCryptor. Tuttavia, chi si cela dietro Bad Rabbit ha apportato dei fix e combinando tutto in una sola soluzione, un approccio più unico che raro. Hanno inoltre firmato il codice con un certificato fasullo di sicurezza Symantec. Un'altra caratteristica di questo software malevolo è la capacità di rilevare le password utente all'interno dei computer infetti e scaricare moduli malevoli aggiuntivi.

    Il ransomware non ricorrere a nuovi trucchi, bensì al contrario si affida a un approccio malware molto datato che consiste nell'indurre gli utenti a installare un aggiornamento Adobe Flash fasullo. Sorprendentemente, questo approccio funziona ancora, il che indica che la consapevolezza della sicurezza informatica è ancora poco sentita tra le aziende e i consumatori. È necessaria ancora molta formazione per rendere questi attacchi meno efficaci. Fino ad allora, in assenza di appropriate misure di sicurezza e protezione dei dati, il rischio di diventare vittima del ransomware rimane alto.

    I fatti chiave di Bad Rabbit

    • Utilizza pezzi di codice di NonPetya/ExPetr
    • Viene distribuito come un aggiornamento Flash fasullo che richiede l'installazione manuale dell'utente
    • Usa il driver di sistema per la crittografia
    • Tenta di espandersi tramite una rete locale in modo primitivo
    • Sostituisce il MBR e rende il PC inutilizzabile
    • Crash su Windows 10
    • Colpito principalmente utenti Windows aziendali

    Schema di infezione e dettagli tecnici

    Per lanciare l'attacco, i criminali informatici hanno hackerato alcuni siti Web di media popolari postando un link a un installer fasullo di Adobe Flash e chiedendo agli utenti di eseguire l'aggiornamento una volta visitata la pagina. Molti utenti sono cascati nel tranello, sebbene le compagnie di sicurezza continuino ad avvisare da anni di non installare aggiornamenti software provenienti da fonti non affidabili. Inoltre, si consiglia di controllare tutti gli aggiornamenti con un prodotto anti-malware prima dell'installazione per accertarsi che non siano stati hackerati o non contengano codici maligni. Alcuni aggiornamenti software Adobe fasulli erano schemi di infezione simile e molto popolare alcuni anni fa e, come vediamo, sfortunatamente continuano a essere efficaci.

    Il dropper del ransomware viene distribuito da hxxp://1dnscontrol[.]com/flash_install.php. Successivamente, l'utente scarica il file install_flash_player.exe, che richiede diritti di amministratore nel sistema. È insolito che cerchi di ottenere questi privilegi utilizzando il prompt UAC standard. Se avviato, il dropper estrae un modulo di crittografia a livello file infpub.dat (che in realtà è un dll) e un modulo di crittografia a livello disco dispci.exe e il driver modalità kernel cscc.dat (che in realtà è il file legale dcrypt.sys).

    Dopo che l'utente ha infettato volontariamente la macchina, Bad Rabbit cerca di espandersi utilizzando la rete locale e un tool mimikatz conosciuto che consente di estrarre le credenziali Windows dalla Local Security Authority in forma aperta, nonché l'elenco delle credenziali integrate che includono alcuni degli esempi di password peggiori. Gli assalitori sanno che "12345" o "password" si trovano in cima agli elenchi di password da anni e che queste password continuano a essere efficaci.

    Come abbiamo già suggerito, Bad Rabbit usa due tipi di crittografia: a livello file e disco. Non imita chkdsk.exe come faceva NonPetya per nascondere la crittografia, e non sfrutta neppure alcuna vulnerabilità nel file server Microsoft srv.sys. Innanzitutto, Bad Rabbit lancia la crittografia a livello file (infpub.dat tramite rundll32) qualora trovi abbastanza file da criptare. Dopodiché, crea i processi nello Scheduler per lanciare dispci.exe che cripta i drive e successivamente forza un riavvio di sistema. Dopo il primo riavvio, dispci.exe scrive un loader esteso alla fine del disco, che otterrà il controllo completo tramite l'MBR malevolo successivamente. In conclusione, l'intero disco sarà criptato con un driver legittimo, l'MBR sarà riscritto e il PC si avvierà nuovamente per visualizzare un messaggio di riscatto chiedendo 0,05 bitcoin (pari ad approssimativamente $275).

    Un punto interessante è che in Windows 10 il modulo driver utilizzato per la crittografia causa spesso un BSOD (Blue Screen Of Death) a seguito dei problemi di compatibilità. Un altro aspetto è che quando crittografa il file, l'estensione rimane la stessa, il che può ingannare l'euristica utilizzata da alcuni antivirus, che reagisce ai cambiamenti delle estensioni file. Bad Rabbit può lavorare offline e ciò significa potenzialmente che il campione può infettare altre macchine se archiviato e distribuito su un drive flash.

    L'obiettivo principale di Bad Rabbit è costituito da compagnie e aziende e al livello attuale possiamo constatare che i livelli di infezione stanno già calando. Il server malevolo non è più attivo e la maggior parte dei siti infetti che ospitavano lo script del Flash pericoloso attualmente sono inattivi oppure disinfettati. Questo non significa, tuttavia, che in quanto azienda o utente privato ci si possa rilassare, in quanto un nuovo attacco può verificarsi in qualsiasi momento.

    Come proteggersi?

    Alcune indicazioni arrivano da Acronis:

    • Installare e abilitare soluzioni affidabili di backup e anti-malware. Il metodo migliore per proteggersi dai ransomware è ricorrere al backup di Acronis con Acronis Active Protection. Proteggere dalle moderne minacce ransomware in modo significativamente migliore rispetto agli antivirus tradizionali.
    • Installare solamente aggiornamenti software provenienti da siti Web ufficiali oppure quando lo richieda il software in Windows. Molti fornitori software esterni, come Adobe, aggiornano i propri programmi automaticamente, in modo che l'utente non visualizza di alcuna richiesta per gli aggiornamenti, specialmente quando si sta leggendo il proprio sito di news preferito. Nel migliore dei casi è possibile rimuovere completamente Flash se non lo si utilizza.
    Acronis Bad Rabbit ransomware
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    AI: costruirla partendo dai dati in tempo reale

    03/07/2025

    IA e personalizzazione delle esperienze digitali

    03/07/2025

    RETN annuncia una nuova tratta ad alte prestazioni tra Milano e Padova

    03/07/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    ExpertBook P5, il notebook con l’AI integrata
    La tua fabbrica è resiliente?
    Legrand Data Center al Data Center Nation per parlare del data center del futuro!
    Snom: focus su tecnologia e partner
    Cumulabilità Transizione 5.0 e ZES: i vantaggi del Litio
    Defence Tech

    Industria sotto attacco: l’Italia tra i Paesi più colpiti. Serve agire

    02/07/2025

    La sicurezza del cloud rimane tra le priorità principali delle aziende

    01/07/2025

    Spionaggio e cybercrime si sovrappongono. La scoperta di Proofpoint

    01/07/2025

    Imprese italiane e l’evoluzione delle minacce informatiche

    30/06/2025
    Report

    Il digitale in Italia raccoglie i frutti seminati dall’AI

    03/07/2025

    Continuità Digitale: leva strategica per l’evoluzione dell’A&D

    03/07/2025

    GenAI: aumenta l’adozione, ma anche i rischi

    02/07/2025

    Adozione dell’AI: crescita vertiginosa tra gli impiegati

    01/07/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.