Bad Rabbit - the not so cute ransomware

Bad Rabbit – il ransomware non proprio adorabile

I laboratori Avira hanno riconosciuto un attacco da parte di una nuova variante di ransomware chiamata Bad Rabbit. Si tratta della tipica crittografia di file che renderà illeggibili tutti i tuoi file personali e ti costringerà a pagare un riscatto per decrittografarli. Il ransomware sovrascrive il file MBR per inviare questo messaggio alla vittima dopo il riavvio del computer.

Bad Rabbit - the not so cute ransomware - in-post

Questa minaccia arriva sul computer della vittima sotto forma di un attacco drive-by. Abbiamo rilevato che il payload è stato scaricato da h(tt)p://1dnscontrol(.)com/flash_install.php. Sembra che in questo caso i criminali non abbiano scelto un classico attacco phishing (nel quale il playload si trova nella maggior parte dei casi in un allegato), ma hanno probabilmente usato un banner pubblicitario dannoso o un sito web hackerato.

Non hanno scelto il phishing per diffondere l’infezione, ma hanno impiegato un altro famoso metodo di ingegneria sociale per accedere al computer dell’utente. Per funzionare, il file archiviato deve essere eseguito dall’utente con i diritti di amministratore. Quindi gli hacker hanno probabilmente deciso che il metodo migliore era mascherarlo da installer di Flash Player. Di recente abbiamo visto numerosi esempi di “malvertising” (una combinazione di malware e pubblicità) che richiederebbero di installare Flash Player prima di guardare il banner. Ogni giorno molte persone cliccano su una falsa icona Flash Player pensando che si tratti di un nuovo aggiornamento:

 

Se viene eseguito il falso Flash Player dannoso, il DLL maligno viene archiviato come C:\Windows\infpub.dat. Questo viene lanciato utilizzando rundll32 e salva un dispci.exe (decodificatore di file) e un file cscc.dat (utility tool) nella cartella windows (c:\windows). Contemporaneamente cerca anche di diffondere questi file sui computer collegati in rete, lanciando attacchi di forza bruta alle condivisioni amministrative (\\computername\admin$) con una lista di credenziali preimpostate (p.es. sex, qwe123, qwe321, …)

Per i file archiviati nella cartella Windows, il ransomware crea tre processi.

Qui è interessante notare come i cybercriminali hanno denominato questi processi, infatti “Drogon”, “Rhaegal” e “Viserion” sono draghi della famosa serie TV Trono di Spade. Ma non si tratta solo di questi. Hanno utilizzato anche il nome di un altro personaggio, “GrayWorm” (Verme Grigio) come nome prodotto per il file exe. Non è la prima volta che i criminali combinano le icone della cultura popolare con i malware, come abbiamo visto in precedenza con Mr. Robot, James Bond, Pokemon e molti altri.

Questo ransomware dispone inoltre di alcune tecniche speciali per non lasciare tracce dopo l’infezione. Un metodo interessante è quello di cancellare il diario USN (usn journal).

Fsutil.exe usn deletejournal /D c: fornisce la soluzione per eliminare la cache del diario. La cache rileva, tra le altre cose, quali modifiche sono state apportate in un file dopo una crittografia. In questo modo, solo i criminali informatici (o chiunque) possono conservare queste informazioni.

Si si guarda l’elenco dei tipi di file, il decodificatore di file fa luce su quali tipi di utenti sono presi di mira dai criminali informatici.

Questo ricerca in particolare i tipi d file di macchine virtuali (p.es. vhdx, vmdk, vbox,…). Ciò significa che i criminali stanno puntando anche bersagli aziendali e non solo “utenti domestici”.

Il decodificatore di file ci dà un’idea di ciò che accadrebbe sul computer della vittima se questa pagasse il riscatto.

L’utente dovrebbe disabilitare il proprio programma antivirus o anti-malware e cliccare sul decryption.lnk presente sul desktop. Inoltre, dopo che i file sono stati decrittografati, il codificatore file e il processo creato verranno eliminati dal sistema. Raccomandiamo in ogni caso di non seguire mai queste istruzioni fornite dai criminali informatici.

Il file mimetizzato cscc.dat è originariamente un file di sistema che fa parte della soluzione di crittografia aperta denominata “DiskCryptor” utilizzata dal ransomware.

A differenza di molte altre crittografie, come Locky, questo metodo non modifica l’estensione del file. Questo rimane infatti invariato, ma viene aggiunta una stringa alla fine del file in cui è possibile leggere “encrypted” (criptato).

Questa volta sembra che i criminali abbiano investito più tempo a creare la pagina del link onion. C’è perfino un’animazione di caricamento di una decodificazione.

Ma non ti preoccupare, Avira ti protegge già da questo ransomware.

Questo articolo è disponibile anche in: IngleseTedescoFrancese