Un nuovo Ransomware sta colpendo in questi momenti i profili delle istituzioni Russe e Ucraine, come la metro di Kiev, l’aeroporto di Odessa e altri enti.
Il nome di questa nuova famiglia di malware è BAD RABBIT e, almeno per ora, si sta concentrando specificamente su un target aziendale di grosse dimensioni. Secondo gli studi dei laboratori di Bitdefender, Bad Rabbit si è legato a molti software open source che hanno tra le loro caratteristiche e funzionalità la capacità di criptare i dati.
Uno degli esempi riscontrati ha avuto come vettore l’installer di Adobe Flash scaricato da siti web compromessi. Una volta scaricato il file compresso, viene scaricato il ransomware.
All’interno dei file infetti sono presenti almeno 6 elementi compressi in ZLIB utilizzati per la criptazione dei dati delle macchine infette. Quelli di cui si conosce l’esistenza sono:
- The encryptor component (identified as 5b929abed1ab5406d1e55fea1b344dab)
- The bootloader (identified as b14d8faf7f0cbcfad051cefe5f39645f)
- Mimikatz – an utility to extract passwords and authentication tickets from memory
- A Mimikatz binary compiled for x86 (identified as 37945c44a897aa42a66adcab68f560e0)
- A Mimikatz binary compiled for x64 (identified as 347ac3b6b791054de3e5720a7144a977)
- DiskCryptor – an open source partition encryption solution
- A DiskCryptor driver compiled for x86 (identified as b4e6d97dafd9224ed9a547d52c26ce02)
- A DiskCryptor driver compiled for x64 (identified as edb72f4a46c39452d1a5414f7d26454a)
Bad Rabbit è estremamente simile a Goldeneye sia dal punto di vista strutturale sia come obiettivi. Ha infettato molte infrastrutture Ucraine e grazie al tool Mimikatz, il ransomware può muoversi senza problemi da una workstation infetta alle altre. Blocca inoltre il normale processo di Boot grazie al DiskCryptor, creando problemi già dall’avvio.
Una curiosità, i componenti del ransomware hanno chiari riferimenti ai personaggi di Game Of Thrones. Segno che almeno in fatto di serie TV gli hacker hanno buon gusto.
Nonostante si tratti di un malware di notevole fattura, chiunque abbia scelto come software Antivirus le soluzioni Bitdefender è protetto dal Day Zero, dato che hanno ricosciuto questi file Gen:Heur.Ransom.BadRabbit.1 e Gen:Variant.Ransom.BadRabbit.1, bloccando dall’inizio qualsiasi rischio.
Continuano quindi gli attacchi, ma con una soluzione antivirus all’avanguardia la protezione è garantita.