Nuovo Virus "Bad Rabbit". Tutto quello che c'è da sapere...
Esiste una nuova minaccia informatica nel mondo e, per il momento, ha colpito principalmente i paesi dell'est Europa e la Russia.
Soprannominato Bad Rabbit, il ransomware ha iniziato a infettare i sistemi martedì 24 ottobre in una maniera del tutto simile a come fece WannaCry.
Dopo la prima epidemia è scattato il panico e si è creata parecchio confusione rispetto alla vicenda. Facciamo chiarezza.
L'attacco per adesso è limitato principalmente alla Russia e l'Ucraina, ma ci sono stati casi anche in Germania, Turchia, Polonia e Corea del Sud.
Sono state colpite anche grosse organizzazioni e si prevedono ancora nuovi possibili attacchi: per ora i numeri sono ancora molto bassi, ma prossimamente la situazione potrebbe degenerare
Quello che è certo è che si tratti di un ransomware quindi di un virus che cripta i dati del pc e richiede un riscatto. Le vittime sono indirizzate a una pagina di pagamento Tor (285 dollari in bitcoin) dove è presente un conto alla rovescia di 40 ore.
La crittografia utilizza DiskCryptor, rigorosamente open source e software utilizzato per la crittografia dell'unità completa. Le chiavi vengono generate utilizzando CryptGenRandom e quindi protette da una chiave pubblica RSA 2048.
E' stato scoperto che il virus ha stretti legami con una vecchia conoscenza di nome "Petya": L'analisi dei ricercatori di Crowdstrike ha scoperto che la DLL di Bad Rabbit e Petya condividono il 67% dello stesso codice, indicando come le due versioni di ransomware siano strettamente correlate
Si diffonde tramite un falso aggiornamento Flash su siti web compromessi: i siti infetti, per la maggior parte con sede in Russia, Bulgaria e Turchia, sono compromessi con l'iniezione di JavaScript nel proprio corpo HTML o in uno dei file .js.
Un'osservazione sicuramente importante fatta dai ricercatori di ESET è che questo ransomware, a differenza di Wannacry, non sembra attaccare in maniera indiscriminata, ma al contrario sembra aver selezionato degli obiettivi sensibili attraverso i siti visitati che, utilizzando un algoritmo, "possono determinare se il visitatore è di interesse e quindi aggiungere contenuti alla pagina".
Gli esperti ritengono che nonostante la principale vittima sia la Russia è molto probabile che gli autori siano in un'altra zona del mondo.
Il nostro consiglio è sempre quello di tenere costantemente aggiornati antivirus e sistema operativo oltre ad evitare siti sospetti e download che non arrivino dalle pagine ufficiali: a volte basta tenere gli occhi aperti per evitare di finire nella gabbia del ricatto.
