Diverse società di sicurezza, proprio in questi minuti, hanno diffuso un allarme informatico relativo a quello che ha tutte le carte in regola per essere il terzo più grande attacco ransomware di tutto il 2017, condotto tramite il virus “Bad Rabbit” (coniglio cattivo). Vediamo cosa sta succedendo.
Non sarà come WannaCry, che ha messo in ginocchio più di 200 mila PC nel mondo, ma Bad Rabbit, il virus che sta colpendo in queste ore i PC (secondo Kaspersky Lab) di Russia, Ucraina, Turchia, e Germania, pur con soli 200 terminali messi fuori uso al momento, ha tutte le carte in regola per passare alla storia come uno dei più pericolosi ransomware di questo 2017: a conferma di questo, stanno giungendo segnalazioni secondo le quali sarebbero compromessi i sistemi di importanti realtà dell’informazione (qualcuno lo aveva previsto) russa (l’agenzia stampa “Interfax” ed il sito di notizie russe in inglese “Fontanka”) e di vari enti pubblici ucraini (il Ministero delle Infrastrutture, la metropolitana della capitale Kiev, e l’aeroporto della città costiera Odessa). Insomma, un attacco contro reti “corporate” sullo stile di NotPetya.
La security house Proofpoint, che sta partecipando alle indagini su tale attacco ransomware, ha scoperto che Bad Rabbit si è diffuso non sfruttando alcun exploit, ma semplicemente grazie al fatto che gli hacker hanno innestato, nelle pagine di alcuni legittimi portali d’informazione, stringhe di codice malevolo che, alla visita degli utenti, proponevano di installare un falso aggiornamento per Flash Player.
Eseguendo tale operazione, secondo i laboratori della McAfee, il “coniglio malvagio” procede a criptare tutti i file con le estensioni più comuni (jpg, doc, docs, ecc ecc) mostrando, al fine, una schermata nera con scritte in caratteri rossi (proprio come in NotPetya) che elencavano i termini del riscatto da pagare: nello specifico, se infettati, occorre navigare sotto rete anonima TOR sino ad un certo sito, chiamato appunto “Bad Rabbit”, in cui viene spiegato che è necessario versare 0,05 BitCoin per PC, pari (al cambio attuale) a 235/270 euro. Scadute le 40 ore messe a disposizione dall’ultimatum (ed evidenziate da un cronometro che scorre velocemente), la cifra da corrispondere salirà vertiginosamente.
Oltre al pericolo di non recuperare i propri file, e di dover corrispondere (invano) il riscatto di cui sopra in criptomoneta BitCoin, vi è anche la possibilità, tutt’altro che remota, che l’infezione si propaghi in locale, da un PC compromesso sull’intera rete di cui fa parte, visto che Bad Rabbit è in grado di sfruttare sia il protocollo SMB (Server Message Block, usato per condividere risorse come file e stampanti in una LAN), che il tool Mimikatz (un opensource scritto in linguaggio C, e usato per testare la sicurezza di Windows).
Al momento, il team di Kaspersky non conferma un eventuale rapporto del ransomware Bad Rabbit con Petya, ma i ricercatori di Eset – avendo notato che l’esemplare di virus che ha colpito la metro di Kiev è proprio una variante del succitato malware – sono più concordi nell’ipotizzare un reale legame tra i 2 attacchi. Stesso parere, questo, di un’altra security house russa, Group-IB.
Quanto all’identità del gruppo hacker responsabile di questa nuova aggressione informatica alla sicurezza dei nostri computer, vi è ancora il mistero assoluto: unici indizi emersi, a tal proposito, dei riferimenti alla saga di Game of Thrones (vengono citati i nomi dei draghi Drogon, Rhaegal e Viserion), e al film del 1995 Hackers (sono elencate le 4 password considerate più banali dai protagonisti del film, ovvero love, secret, sex, god). Ricordiamo, per l’occasione, quelle che sono le cautele più indicate per tutelarsi e per affrontare al meglio un attacco ransomware.