
Nella giornata di ieri 24 Ottobre 2017, a livello mondiale è stato identificato un nuovo attacco Ransomware dal nome Bad Rabbit.
Dalle prime informazioni, la minaccia risulta essere distribuita principalmente in Russia, Ucraina, Turchia, e Germania, contando al momento più di 200 vittime colpite.
È importante sottolineare però, come la velocità di diffusione di Bad Rabbit risulti molto elevata, simile a quella registrata per i Ransomware WannaCry e PetrWrap, identificati rispettivamente nei mesi di Maggio e Giugno 2017.
ANALISI TECNICA
Bad Rabbit fa parte della macro-famiglia di Malware Ransomware e cioè minacce informatiche sviluppate con lo scopo di criptare i dati degli utenti/organizzazioni vittima e richiedere, in seguito, un riscatto in BTC (bitcoin), per avere nuovamente i dati in chiaro.
Dalle informazioni attualmente in possesso, è possibile ipotizzare che l’obiettivo di Bad Rabbit sia quello di colpire le reti aziendali, utilizzando metodi simili a quelli osservati durante l’attacco PetrWrap. Dalle analisi del codice è infatti emersa una percentuale indicativa del 13% di similitudine tra i due sorgenti.
Vettore di Attacco
Il vettore di attacco utilizzato per la distribuzione del Ransomware è di tipo Drive-by, ossia si scarica automaticamente nel momento in cui l’utente visita il sito hxxp://1dnscontrol[.]com/flash_install.php, al quale viene reindirizzato visitando siti di news.
Una volta effettuato il download automatico del malware, questo richiede di essere lanciato manualmente dall’utente, prima di attivarsi. Il Ransomware scaricato si presenta come un file di setup Flash Player, con il nome install_flash_player.exe.
Attivazione
Al fine di operare correttamente, il Malware richiede i privilegi amministrativi sull’host; a questo scopo tenta infatti di avviare il prompt dei comandi. Nel caso in cui quest’ultimo venga avviato, il malware si attiva utilizzando il processo runddll32.exe con il seguente comando:
C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15.
Una volta installato, forza il riavvio del PC ed agisce come un tipico Ransomware in grado di criptare i file dell’utente vittima sul PC, utilizzando la chiave RSA-2048.
Bad Rabbit per il processo di “encryption” dell’Hard Disk, si basa su DiskCryptor un utility open source. (https://diskcryptor.net/wiki/Main_Page) con lo scopo di proteggere gli HDD criptando i dati in modo sicuro.
Di seguito vengono indicate le estensioni dei file criptati dal malware:
.3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip
Un dettaglio interessante, emerso osservando il codice è la presenza di numerosi riferimenti alla serie TV Game of Thrones, indice di una possibile passione dello sviluppatore del Ransomware.
Movimento Laterale
Bad Rabbit, tenta di propagarsi e muoversi nella rete interna aziendale attraverso attacchi dizionario utilizzando il protocollo SMB; di seguito la lista di username/password tentate dal malware:
usernames | |||
Administrator | Admin | Guest | User |
User1 | user-1 | Test | root |
buh | boss | ftp | rdp |
rdpuser | rdpadmin | manager | support |
work | other user | operator | backup |
asus | ftpuser | ftpadmin | nas |
nasuser | nasadmin | superuser | netguest |
alex |
|
|
|
passwords | |||
Administrator | administrator | Guest | guest |
User | user | Admin | adminTest |
test | root | 123 | 1234 |
12345 | 123456 | 1234567 | 12345678 |
123456789 | 1234567890 | Administrator123 | administrator123 |
Guest123 | guest123 | User123 | user123 |
Admin123 | admin123Test123 | test123 | password |
111111 | 55555 | 77777 | 777 |
qwe | qwe123 | qwe321 | qwer |
qwert | qwerty | qwerty123 | zxc |
zxc123 | zxc321 | zxcv | uiop |
123321 | 321 | love | secret |
sex | god |
|
|
Richiesta di riscatto
Come caratteristica distintiva di tutti i Ransomware, anche Bad Rabbit richiede di effettuare il pagamento della somma di 0.05 Bitcoin (280,00 $ circa) entro le successive 40 ore, in assenza del quale la somma richiesta subisce un aumento.
Come difendersi
E’ possibile difendere la propria infrastruttura interna adottando i seguenti accorgimenti:
- Limitare i permessi amministrativi sul PC ai soli utenti amministratori, così da evitare l’avvio e l’esecuzione del ransomware, che come specificato precedentemente tenta di avviarsi richiedendo i privilegi più alti.
- Procedere all’aggiornamento delle signature antivirus sull’endpoint.
Un ulteriore accorgimento di prevenzione può essere:
- Creare i seguenti files: C:\Windows\infpub.dat e C:\Windows\cscc.dat rimuovendo per essi tutti i permessi, in modo da evitare al malware di avviarsi.
IoC – Indicators Of Compromised
Hash | ||
IOC Type | Value | |
Install_flash_player.exe | fbbdc39af1139aebba4da004475e8839 | |
Install_flash_player.exe | 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da | |
infpub.dat | 1d724f95c61f1055f0d02c2154bbccd3 | |
infpub.dat | 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 | |
dispci.exe | b14d8faf7f0cbcfad051cefe5f39645f | |
dispci.exe | 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 | |
cscc.dat (dcrypt.sys) | 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 | |
Network Activity | ||
caforssztxqzf2nm.onion | ||
Files | ||
C:\Windows\infpub.dat | ||
C:\Windows\System32\Tasks\drogon | ||
C:\Windows\System32\Tasks\rhaegal | ||
C:\Windows\cscc.dat | ||
Windows Services | ||
Display Name | Image Path | |
Windows Client Side Caching DDriver | cscc.dat |
Riferimenti
- https://securelist.com/bad-rabbit-ransomware/82851/
- http://blog.talosintelligence.com/2017/10/bad-rabbit.html
- https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/
- https://www.hybrid-analysis.com/sample/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93?environmentId=100
- https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Tibbar.A
Devi effettuare l'accesso per postare un commento.