Dettaglio News Dettaglio News

Nuova Campagna Ransomware "Bad Rabbit"
25/10/2017
A partire dalla giornata di ieri 24 Ottobre 2017 è stata rilevata la presenza di un nuovo Ransomware identificato con il nome di Bad Rabbit, autore di una moltitudine di attacchi concentrati, al momento, prevalentemente in Russia e Turchia.

Il Malware, spacciandosi come un aggiornamento di Adobe Flash, viene distribuito come dropper attraverso siti legittimi a loro insaputa: i Cyber criminali, infatti, una volta identificati quei siti vulnerabili, li utilizzano per effettuare un attacco di tipo drive-by downloads, ovvero immettono del codice malevolo all'interno di pagine vulnerabili attraverso il quale verrà successivamente scaricato il Ransomware direttamente sul computer della vittima.

Così come accade per ogni CryptoLocker, anche in questo caso una vasta quantità di file con specifiche estensioni vengono cifrati con una chiave RSA a 2048 bit e viene richiesto alla vittima di pagare un riscatto di 0,05 bitcoin (l'equivalente di 283 USD, allo stato attuale) per poter decifrare i propri contenuti.

Come lavora BadRabbit?

Da una prima analisi emerge chiaramente che Bad Rabbit riporta similitudini con NotPetya eccetto per l'algoritmo utilizzato per cifrare i file. Il Malware, poi, utilizza il protocollo SMB per diffondersi attraverso la rete locale effettuando una scansione in cerca di risorse condivise.

Successivamente, utilizzando un software per estrarre le password (denominato Mimikatz), colleziona le credenziali di login della macchina infetta e le utilizza per tentare di accedere tramite movimenti laterali ad altri sistemi Windows. Infine, facendo uso di credenziali deboli (username e password banali), tenta di eseguire un Brute Force per tentare l'accesso ai dispositivi condivisi in rete.

Una volta compromessa la macchina target vengono schedulate due attività, tramite Windows TaskScheduler, denominate rispettivamente dragon, che ha il compito di forzare lo spegnimento della macchina entro 18 minuti (tempi stimati da analisi in laboratorio CERT-PA) e rhaegal che all'avvio del sistema lancia il file dispci.exe, posizionato nella cartella C:\Windows, demandato ad attivare la componente di cifratura.

Workaround

Al fine di mitigare la problematica, è stata verificata la possibilità di inibire al malware di cifrare i dati impedendo la chiamata dei processi "infpub.dat" e "cscc.datcosì come indicato nello script (.bat) condiviso sul repository GitHub.

Indicatori di Compromissione

Il CERT-PA ha reso pubblico, attraverso la piattaforma Infosec, una analisi preliminare del Ransomware e delle varianti ad esso collegate, nonchè gli IoC per identificare i sample o le attività network.

Le indagini sono attualmente in corso, ulteriori aspetti tecnici verranno meglio descritti su un bollettino di prossima emissione. Nel frattempo si consiglia vivamente di aggiornare l'antivirus e di sfruttare al meglio IoC.

Aggiornamento 26/10/2017 @ 18:00

Emesso bollettino di sicurezza CERT-PA-B017-171026 reperibile al seguente link previa registrazione: https://www.cert-pa.it/web/guest/bollettini