|
Gate S.r.l. Società di servizi |
|
SICUREZZA INFORMATICA: Nuova Campagna Ransomware "Bad Rabbit"
Inserita da: gambinif (29/10/2017 - Domenica - 17:43)
A partire dalla giornata del 24 Ottobre 2017 è stata rilevata la presenza di un nuovo Ransomware identificato con il nome di Bad Rabbit, autore di una moltitudine di attacchi concentrati, al momento, prevalentemente in Russia e Turchia.
Il Malware, spacciandosi come un aggiornamento di Adobe Flash, viene distribuito come dropper attraverso siti legittimi a loro insaputa: i Cyber criminali, infatti, una volta identificati quei siti vulnerabili, li utilizzano per effettuare un attacco di tipo drive-by downloads, ovvero immettono del codice malevolo all'interno di pagine vulnerabili attraverso il quale verrà successivamente scaricato il Ransomware direttamente sul computer della vittima.
Così come accade per ogni CryptoLocker, anche in questo caso una vasta quantità di file con specifiche estensioni vengono cifrati con una chiave RSA a 2048 bit e viene richiesto alla vittima di pagare un riscatto di 0,05 bitcoin (l'equivalente di 283 USD, allo stato attuale) per poter decifrare i propri contenuti.
Come lavora BadRabbit?
Da una prima analisi emerge chiaramente che Bad Rabbit riporta similitudini con NotPetya eccetto per l'algoritmo utilizzato per cifrare i file. Il Malware, poi, utilizza il protocollo SMB per diffondersi attraverso la rete locale effettuando una scansione in cerca di risorse condivise.
Successivamente, utilizzando un software per estrarre le password (denominato Mimikatz), colleziona le credenziali di login della macchina infetta e le utilizza per tentare di accedere tramite movimenti laterali ad altri sistemi Windows. Infine, facendo uso di credenziali deboli (username e password banali), tenta di eseguire un Brute Force per tentare l'accesso ai dispositivi condivisi in rete.
Una volta compromessa la macchina target vengono schedulate due attività, tramite Windows TaskScheduler, denominate rispettivamente dragon, che ha il compito di forzare lo spegnimento della macchina entro 18 minuti (tempi stimati da analisi in laboratorio CERT-PA) e rhaegal che all'avvio del sistema lancia il file dispci.exe, posizionato nella cartella C:\Windows, demandato ad attivare la componente di cifratura.
Fonte: Cert-PA
Il Malware, spacciandosi come un aggiornamento di Adobe Flash, viene distribuito come dropper attraverso siti legittimi a loro insaputa: i Cyber criminali, infatti, una volta identificati quei siti vulnerabili, li utilizzano per effettuare un attacco di tipo drive-by downloads, ovvero immettono del codice malevolo all'interno di pagine vulnerabili attraverso il quale verrà successivamente scaricato il Ransomware direttamente sul computer della vittima.
Così come accade per ogni CryptoLocker, anche in questo caso una vasta quantità di file con specifiche estensioni vengono cifrati con una chiave RSA a 2048 bit e viene richiesto alla vittima di pagare un riscatto di 0,05 bitcoin (l'equivalente di 283 USD, allo stato attuale) per poter decifrare i propri contenuti.
Come lavora BadRabbit?
Da una prima analisi emerge chiaramente che Bad Rabbit riporta similitudini con NotPetya eccetto per l'algoritmo utilizzato per cifrare i file. Il Malware, poi, utilizza il protocollo SMB per diffondersi attraverso la rete locale effettuando una scansione in cerca di risorse condivise.
Successivamente, utilizzando un software per estrarre le password (denominato Mimikatz), colleziona le credenziali di login della macchina infetta e le utilizza per tentare di accedere tramite movimenti laterali ad altri sistemi Windows. Infine, facendo uso di credenziali deboli (username e password banali), tenta di eseguire un Brute Force per tentare l'accesso ai dispositivi condivisi in rete.
Una volta compromessa la macchina target vengono schedulate due attività, tramite Windows TaskScheduler, denominate rispettivamente dragon, che ha il compito di forzare lo spegnimento della macchina entro 18 minuti (tempi stimati da analisi in laboratorio CERT-PA) e rhaegal che all'avvio del sistema lancia il file dispci.exe, posizionato nella cartella C:\Windows, demandato ad attivare la componente di cifratura.
Fonte: Cert-PA
Esecuzione in (0.9209) secondi
Queries complessive (18) ((5) reali (13) cached) - Tempo totale (10.9503) msec ((2.4560) msec reali (8.4943) msec cached)
