Fastweb

Un nuovo virus di crittografia dei dati colpisce Russia e Ucraina

Hacker al lavoro Web & Digital #sicurezza informatica #vacanze Cybersecurity estiva: le precauzioni contro gli hacker L'estate è uno dei periodi più pericolosi per quel che riguarda la sicurezza informatica. Sapere come difendere i nostri dispositivi elettronici e i nostri dati online quando siamo in vacanza è fondamentale
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Un nuovo virus di crittografia dei dati colpisce Russia e Ucraina FASTWEB S.p.A.
Bad Rabbit
Web & Digital
Il malware "Bad Rabbit" colpisce stazioni, aeroporti e siti di informazione

Stando a quanto detto da diverse agenzie di sicurezza, un nuovo potente e virulento malware di data-encrypting sta contaminando l'est Europa e sta lasciando una scia di blocchi di agenzie stampa, stazioni e aeroporti.

Bad Rabbit, come è stato soprannominato, ha attaccato innanzitutto alcuni obiettivi in Russia ma sta colpendo anche in Ucraina, Turchia e Germania, hanno detto i ricercatori di Kaspersky Lab, che hanno la base a Mosca. In un post del blog, il provider di antivirus ha riportato che il malware che sta hackerando siti dei media russi, appare come un'installazione di Adobe Flash, che infetta il computer appena si visitano alcuni siti hackerati. I ricercatori sostengono che il malware potrebbe usare altre risorse per infettare.

Bad Rabbit sembra attaccare alcuni target specifici, tra cui network di aziende, utilizzando una metodologia molto simile a quella degli attacchi di giugno Petya che hanno bloccato i computer in giro per il mondo. Bad Rabbit infetta i computer Windows e si basa esclusivamente su obiettivi che manualmente cliccano sull'installazione.

L'agenzia di news russa Interfax ha fatto sapere, via Twitter, che l'attacco ha messo fuori uso diversi loro server e che, al momento, possono fare affidamento solo sulla loro pagina Facebook. Il gruppo forense Group IB ha detto che il malware ha infettato altre due agenzie media oltre a Interfax. Nella vicina Ucraina, i sistemi dei computer della metropolitana di Kiev, quello dell'aeroporto di Odessa e il ministero ucraino delle infrastrutture e delle finanze sono stati infettati; questo è quanto riportato dal provider antivirus Eset. Nel mentre, l'agenzia di emergenza di computer CERT-UA ha informato riguardo una serie di cyber-attacchi, senza specificare il nome del malware.

Da una prima analsi risulta che il malware è stato sviluppato da professionisti e incorpora una serie di misure avanzate programmate per permettere al virus di infettare velocemente i network dei governi e delle aziende. Il ricercatore Kevin Beaumont ha rivelato su Twitter che Bad Rabbit utilizza un programma legittimo e registrato che si chiama DiskCryptor, che blocca i drive dei PC. Il post del blog della Kaspersky Lab aggiunge che il file dispci.exe appare derivare da DiskCryptor e viene utilizzato come modulo di criptaggio.

Beaumont dice anche che Bad Rabbit si basa su credenziali hard-coded che sono comunemente utilizzate nelle reti aziendali per la condivisione dei file e prende di mira alcuni drive vulnerabili dei computer conosciuti come master boot record (record di avvio principale). Un file dannoso chiamato infpub.dat sembra renda possibile usare le stesse credenziali per entrare anche sugli altri computer legati alla stessa rete. In un secondo blog, Eset ha detto che il malware utilizza il tool amministrativo Mimikatz, che permette di raccogliere le credenziali dai sistemi contagiati.

I ricercatori hanno anche notato che Bad Rabbit fa riferimento alla popolare serie tv Game of Thrones, due task programmati hanno il nome di Drogon e Rhaegal, strizzando l'occhio quindi al terzo drago Viserion e al personaggio Grayworm.

Una volta che Bad Rabbit ha infettato il computer, appare un messaggio con lettere arancioni su sfondo nero; questo messaggio rimanda l'utente a un sito di Dark Web che richiede il pagamento di 283 dollari in Bitcoin per decriptare tutti i file del computer. Il sito inoltre mostra un orologio che concede alle vittime 40 ore per pagare prima che il prezzo aumenti. Non è ancora noto cosa succede se si paga il riscatto. Il malware NotPetya era scritto in una maniera tale per cui risultava quasi impossibile recuperare tutti i dati, un elemento che ha fatto pensare a molti che l'attacco era pensato per sabotare i dati sui PC invece di ricevere un pagamento. Non si è mai saputo chi ci sia dietro questi attacchi.

Questo attacco è l'ultima, in senso cronologico, avvisaglia che ognuno dovrebbe avere un backup di tutti i dati sui computer da tenere sempre al sicuro con una password o altre misure di sicurezza. Microsoft ha provveduto dunque a redigere una guida che serve agli amministratori di rete per proteggere l'azienda da Bad Rabbit.

25 ottobre 2017

 

Fonte: arstechnica.com

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #malware #virus #sicurezza #hacker

© Fastweb SpA 2018 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.