Un massiccio attacco basato su un ransomware ha infettato centinaia di organizzazioni soprattutto in Russia, Ucraina, Germania, Giappone e Turchia
Il 24 ottobre un nuovo massiccio attacco basato su un ransomware denominato Bad Rabbit ha infettato diverse centinaia di organizzazioni soprattutto in Russia, Ucraina, Germania, Giappone e Turchia. Tra le vittime numerose reti di grandi organizzazioni russe, come le agenzie di stampa Interfax e Fontanka.ru che hanno confermato di essere state compite dal malware. Secondo gli esperti dell’azienda Kaspersky, anche l’aeroporto internazionale di Odessa ha confermato di aver subito un attacco al suo sistema informativo.
Secondo l’agenzia di stampa TASS, il CEO della società russa di sicurezza Group-IB, Ilya Sachkov
In alcune aziende, le attività lavorative sono state completamente paralizzate – i file su server e workstation sono stati crittografati
Simile a Petya
Le prime analisi condotte sul ransomware rivelano molte similitudini con un altro malware, il famigerato Petya. Bad Rabbit richiede alle vittime un riscatto di 0,05 bitcoin (~ 280 dollari) per decifrare i file criptati dal ransomware. Il ransomware si diffonde attraverso attacchi drive-by download, ovvero attacchi in cui il malware è scaricato dalla vittima da un sito web. Nella recente campagna, gli attaccanti hanno utilizzato un file di installazione camuffato da Adobe Flash per ingannare le vittime ed indurle ad installare il malware.
Scansiona la rete di destinazione
Gli esperti dell’azienda di sicurezza ESET hanno rilevato il ransomware Bad Rabbit come Win32 / Diskcoder.D. Secondo ESET, il malware è una nuova variante del ransomware di Petya ed utilizza il software di crittografia open-source DiskCryptor per la cifratura dei file. I ricercatori dell’azienda hanno escluso che Bad Rabbit utilizzi l’exploit Ethernal Blue per la sua diffusione come invece facevano WannaCry e NotPetya. Bad Rabbit prima scansiona la rete di destinazione cercando folder condivise mediante protocollo SMB, poi cerca di accedervi utilizzando un elenco di credenziali fisse presenti nel suo codice, ed utilizza lo strumento Mimikatz per estrarre le credenziali dall’obiettivo.
Informazioni e privacy di Twitter Ads
Il pagamento del riscatto
Bad Rabbit utilizza un sito web ospitato sulla rete Tor per il pagamento del riscatto, la “ransom note” include le istruzioni per effettuare il pagamento mentre visualizza un conto alla rovescia di 40 ore prima che il prezzo per decifrare i file aumenti.
Anche gli esperti del malware Lab ZLab dell’azienda CSE che dirigo hanno condotto un’analisi preliminare di Bad Rabbit, cui seguirà nei prossimi giorni un report dettagliato.
Da subito abbiamo constatato la somiglianza del ransomware con il malware NotPetya di cui pubblicammo una dettagliata analisi, due le principali caratteristiche in comune:
- Il comportamento dopo il riavvio a seguito dell’infezione.
- La capacità di diffusione attraverso movimenti laterali che si basano sul protocollo SMB.
Confrontando NotPetya con Bad Rabbit abbiamo notato che quest’ultimo ha un comportamento più sofisticato. Gli autori del malware hanno probabilmente riutilizzato alcuni pezzi del codice NotPetya aumentandone la complessità e risolvendo gli errori di codifica che trasformarono NotPetya da ransomware a wiper (ovvero un malware in grado di cancellare in maniera permanente il contenuto del disco del sistema infetto).
Altro elemento emerso dall’analisi dai vari gruppi è l’utilizzo di un java script per la distribuzione del ransomware, gli hacker anno compromesso decine di siti i cui visitatori sono stati ridiretti verso il dominio a 1dnscontrol [.] Com.
Nel corso dell’analisi condotta dei ricercatori del gruppo della CSE Cybsec, il sito che ospitava il malware è risultato non più raggiungibile. Lo script è stato utilizzato per scaricare il ransomware utilizzando una richiesta POST all’indirizzo IP statico (185.149.120 [.] 3).
Gli esperti hanno notato che il dropper, ovvero il file responsabile per il download del malware, prima di procedere nell’infezione controlla l’esistenza del file “C: Windows cscc.dat”. Questa è in realtà la libreria utilizzata dal malware per crittografare i file utente. La presenza del file viene interpretata dal ransomware come indicatore di compromissione, ciò significa che la macchina è già stata infettata da una istanza del malware e per questo motivo la catena d’attacco è interrotta. Possiamo concludere che il file cscc.dat agisce come una sorta di killswitch (interruttore) per il malware.
Una volta avviato il processo di infezione, il file dropper estrae i seguenti file:
- “C: Windows infpub.dat”
- “C: Windows cscc.dat”
- “C: Windows dispci.exe”
- “C: Windows EC95.tmp”
“Infpub.dat” può essere considerato come vero “controller” del malware, in quanto coordina ogni sua azione. Una volta caricato in memoria il file “infpub.dat”, si elimina dal disco rendendo impossibile la sua individuazione dal supporto fisico.
Figura 2 – Alcune azioni di “infpub.dat”
La figura 2 mostra che processo “infpub.dat” esegue diverse azioni, tra cui il riavvio della macchina e l’esecuzione di esecuzione di “dispci.exe” all’avvio.
Figura 3 – Programmazione di riavvio
Il “infpub.dat” è anche incaricato della propagazione del ransomware in rete.
La Figura 5 seguente mostra il comportamento del malware osservato nei laboratori della CSE Cybsec:
Figura 5 – Flusso di controllo di Bad Rabbit
Concludiamo questo post con qualche utile riflessione sul ransomware Bad Rabbit
- Differentemente dal Petya e NotPetya che implementano un attacco a due stadi, il processo di infezione di Bad Rabbit ha 3 fasi distinte.
- Il vettore di attacco di Bad Rabbit ha richiesto maggiori sforzi rispetto ai ransomware Petya e NotPetya, gli hacker hanno infatti compromesso decine di siti web per distribuire il javascript malevolo. Evidentemente quest’attività ha richiesto un coordinamento centrale ed una sincronizzazione per evitare la detection già dalle prime fasi dell’attacco.
- La maggior parte dei siti web compromessi appartengono a ristoranti, alberghi e servizi per l’affitto di case vacanza.
Chi è dietro l’attacco
In questa fase non è possibile attribuire l’attacco ad uno specifico attore. È interessante notare che il malware non implementa esplicitamente un comportamento di tipo wiper (distruttivo), caratteristica che ha indotto gli operatori a pensare che gli attaccanti siano motivati finanziariamente. L’anomalia vera risiede nel fatto che il sito .onion nella rete Tor utilizzato per il pagamento non è più disponibile già da dopo la diffusione della notizia di Bad Rabbit, ciò implica che le vittime non possono pagare il riscatto per decifrare i file. Ma per quale motivo un attore che intende implementare questa pratica estorsiva butta giù proprio l’infrastruttura per il pagamento del riscatto? Questo comportamento potrebbe essere intenzionale e utilizzato dagli aggressori per nascondere il loro reale intento, distruggere i sistemi vittima, ed utilizzare il ransomware in una strategia diversiva.
Vi aggiornerò quando avremo maggiori dettagli in merito alla minaccia.
