Bad Rabbit: da dove proviene, come difendersi e prevenirlo

Dopo le conseguenze devastanti di Wannacry e subito dopo NotPetya, arriva Bad Rabbit, il “coniglio cattivo” che minaccia le organizzazioni.

Bad Rabbit è un ransomware rilevato lo scorso 24 Ottobre che ha colpito principalmente in Russia e in molto altri Paesi come Ucraina, Turchia e Germania.

Si tratta di un tipo di malware già noto, simile a NotPetya che blocca totalmente il sistema operativo per chiedere un riscatto da pagare in bitcoin, la moneta elettronica, che in euro sono circa € 250-300, facendo partire un countdown; se “le vittime” non pagano entro 48 ore, il riscatto aumenta.
Già il 12 ottobre l’intelligence ucraina avvisava del rischio di una imminente campagna di attacchi che sarebbe stata diretta soprattutto contro le aziende. In questi giorni l’unità di risposte alle emergenze cyber dell’Ucraina (il CERT-UA) ha confermato una distribuzione di cyberattacchi  alla metro di Kiev e all’aeroporto di Odessa.

Come si è distribuito il malware?

BadRabbit si cela dietro un falso Flash Player, il noto software Adobe per i contenuti multimediali. Un metodo di infezione che sfrutta l’abitudine degli utenti a vedere comparire messaggi con l’invito ad aggiornare un programma legittimo; nel dettaglio “la vittima” si ritrova a scaricare un file che si chiama “install_flash_player.exe”BadRabbit a differenza di NotPetya non utilizza l’ exploit EternalBlue e utilizza un metodo per cryptare il disco totalmente diverso da quello utilizzato dalla sua precedente versione. Esso utilizza applicazioni legittime per cryptare il disco e nello specifico il programma “dispci.exe” che a sua volta utilizza un driver “cscc” (derivato da DiskCryptor) per cryptare i dati (https://diskcryptor.net/wiki/FAQ). 

I file vengono cryptati tramite gli algoritmi : AES-128-CBC e RSA-2048. Una volta scaricato il file “flash_player_update.exe” deve essere eseguito  necessariamente con privilegi amministrativi elevati perchè il virus inizi a prendere piede. Ad ogni modo una volta eseguito, il programma estrae una dll in “C:\Windows\infpub.dat” che verrà poi eseguita tramite il comando “rundll32.exe C:\Windows\infpub.dat,#1 15”. Da questo momento in poi “infopub.dat” andrà a generare i file suddetti C:\Windows\cscc.dat e C:\Windows\dispci.exe. I due file una volta eseguiti dal Malware andranno a modificare i settori di avvio del pc (MBR) lanciando quindi un messaggio al riavvio della macchina.

Nel dettaglio

  • Start di “dispci.exe”:

chtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR “C:\Windows\system32\cmd.exe /C start \”\”   \”C:\Windows\dispci.exe\” -id 2213133121 && exit.

  • Lancia il driver “cscc.dat” come un serviziodriver

     

  • Crea task di riavviotask

Per infettare le macchine del network “BadRabbit”, a differenza del suo predecessore NotPetya, utilizza una versione di “MIMIKATZ” (programma di recupero credenziali per Windows). Una volta ottenute le credenziali il virus cerca di accedere alle risorse condivise all’ interno della rete, tramite un “brute force attack” e un dizionario hard-coded di credenziali.
Le estensioni interessate dal virus sono le seguenti (alle quali verrà aggiunto “.encrypted” al termine del processo)

estensioni

Curiosità

  • I creatori sembrano essere fan della serie televisiva Game of Thrones in quanto all’ interno del codice sono sparsi alcuni nomi derivati dalla serie.
  • Il virus non è in grado di cryptare i file di “Sola-lettura”

Prevenzione

Oltre alla raccomandazione di mantenere aggiornati e quindi in sicurezza i proprio sistemi è possibile prevenire comunque l’ infezione di “BadRabbit”. Le procedure da seguire saranno:

  • creare i file “infopub.dat” e “cscc.dat” all’ interno della cartella “C:\windows”
  • rimuovere tutte le autorizzazioni e l’ ereditarietà ai 2 file precedentemente creati

Possibile cura

Il Ransomware in questione a differenza di alcuni suoi predecessori non crypta le copie shadow dei file presenti su windows. È quindi possibile, naturalmente se abilitata questa funzione prima dell’ infezione, recuperare completamente o quasi i file cryptati sfruttando le loro shadow copy (https://it.wikipedia.org/wiki/Copia_shadow).

Fonti:

Francesco Baiocchi
VM Sistemi – ICT Security Support Specialist

Related Posts

Pin It on Pinterest