Bad Rabbit

I ricercatori Kaspersky segnalano che nelle ultime ore si sta diffondendo un ransomware chiamato: Bad Rabbit.
Questa campagna di attacco utilizza un falso pacchetto di installazione di Flash Player, ingannando l’utente che viene spinto ad installare il malware anziché l’applicazione desiderata, in modo da avviare il processo di cifratura per proprio hard disk.

bad_rabbit_ransomware_01

Il funzionamento del malware assomiglia molto ad ExPetr ed ha colpito principalmente la Russia, l’Ucraina, la Turchia e la Germania. Richiede 0,05 bitcoin (circa 250 euro) per il riscatto.

Secondo le informazioni raccolte dai ricercatori di sicurezza, il malware viene distribuito tramite un link compromesso pubblicato su un sito di news. Il link anziché portare al pacchetto di installazione di Adobe Flash Player porta al file malevolo. Il file scaricato si chiama install_flash_player.exe e deve essere lanciato manualmente dalla vittima. Per funzionare correttamente, è necessario elevare i privilegi amministrativi che tenta di ottenere utilizzando il prompt UAC standard. Se viene avviato, verrà salvata la DLL dannosa in C:\Windows\infpub.dat e avviata con rundll32.

La libreria infpub.dat funziona come un tipico ransomware: trova i file con i dati della vittima usando un elenco di estensioni e lì crittografa utilizzando la chiave pubblica RSA-2048 del criminale.

Public-Key: (2048 bit)
Modulus:
00:e5:c9:43:b9:51:6b:e6:c4:31:67:e7:de:42:55:
6f:65:c1:0a:d2:4e:2e:09:21:79:4a:43:a4:17:d0:
37:b5:1e:8e:ff:10:2d:f3:df:cf:56:1a:30:be:ed:
93:7c:14:d1:b2:70:6c:f3:78:5c:14:7f:21:8c:6d:
95:e4:5e:43:c5:71:68:4b:1a:53:a9:5b:11:e2:53:
a6:e4:a0:76:4b:c6:a9:e1:38:a7:1b:f1:8d:fd:25:
4d:04:5c:25:96:94:61:57:fb:d1:58:d9:8a:80:a2:
1d:44:eb:e4:1f:1c:80:2e:e2:72:52:e0:99:94:8a:
1a:27:9b:41:d1:89:00:4c:41:c4:c9:1b:0b:72:7b:
59:62:c7:70:1f:53:fe:36:65:e2:36:0d:8c:1f:99:
59:f5:b1:0e:93:b6:13:31:fc:15:28:da:ad:1d:a5:
f4:2c:93:b2:02:4c:78:35:1d:03:3c:e1:4b:0d:03:
8d:5b:d3:8e:85:94:a4:47:1d:d5:ec:f0:b7:43:6f:
47:1e:1c:a2:29:50:8f:26:c3:96:d6:5d:66:36:dc:
0b:ec:a5:fe:ee:47:cd:7b:40:9e:7c:1c:84:59:f4:
81:b7:5b:5b:92:f8:dd:78:fd:b1:06:73:e3:6f:71:
84:d4:60:3f:a0:67:06:8e:b5:dc:eb:05:7c:58:ab:
1f:61

kaspersky

I prodotti Kaspersky Lab sono già in grado di rilevare questa minaccia con i seguenti verdetti:

  • Trojan-Ransom.Win32.Gen.ftl
  • Multi.Generic
  • PDM: Trojan.Win32.Generic

I clienti aziendali di Kaspersky Lab sono invitati a:

  • assicurarsi che tutti i meccanismi di protezione siano attivati ​​come indicato; e che i componenti KSN e System Watcher (che sono abilitati per impostazione predefinita) non siano stati disabilitati.
  • aggiornare immediatamente i database antivirus.

Come precauzioni aggiuntive consigliamo:

  • limitare in Kaspersky Endpoint Security l’esecuzione di file con i percorsi c:\windows\infpub.dat e C:\Windows\cscc.dat
  • configurare e abilitare la modalità Default Deny nel componente Controllo Avvio Applicazioni di Kaspersky Endpoint Security per garantire e attuare la difesa proattiva contro questa tipologia di attacchi.