Sorint.SEC Cyber Security Blog



Bad Rabbit: Nuovo attacco Ransomware

Nella giornata di ieri 24 Ottobre 2017, a livello mondiale è stato identificato un nuovo attacco Ransomware dal nome Bad Rabbit.

Dalle prime informazioni, la minaccia risulta essere distribuita principalmente in Russia, Ucraina, Turchia, e Germania, contando al momento più di 200 vittime colpite.

È importante sottolineare però, come la velocità di diffusione di Bad Rabbit risulti molto elevata, simile a quella registrata per i Ransomware WannaCry e PetrWrap, identificati rispettivamente nei mesi di Maggio e Giugno 2017.

 

ANALISI TECNICA

Bad Rabbit fa parte della macro-famiglia di Malware Ransomware e cioè minacce informatiche sviluppate con lo scopo di criptare i dati degli utenti/organizzazioni vittima e richiedere, in seguito, un riscatto in BTC (bitcoin), per avere nuovamente i dati in chiaro.

 

Dalle informazioni attualmente in possesso, è possibile ipotizzare che l’obiettivo di Bad Rabbit sia quello di colpire le reti aziendali, utilizzando metodi simili a quelli osservati durante l’attacco PetrWrap. Dalle analisi del codice è infatti emersa una percentuale indicativa del 13% di similitudine tra i due sorgenti.

 

Vettore di Attacco

Il vettore di attacco utilizzato per la distribuzione del Ransomware è di tipo Drive-by, ossia si scarica automaticamente nel momento in cui l’utente visita il sito hxxp://1dnscontrol[.]com/flash_install.php, al quale viene reindirizzato visitando siti di news.

 

Una volta effettuato il download automatico del malware, questo richiede di essere lanciato manualmente dall’utente, prima di attivarsi. Il Ransomware scaricato si presenta come un file di setup Flash Player, con il nome install_flash_player.exe.

 

Attivazione

Al fine di operare correttamente, il Malware richiede i privilegi amministrativi sull’host; a questo scopo tenta infatti di avviare il prompt dei comandi. Nel caso in cui quest’ultimo venga avviato, il malware si attiva utilizzando il processo runddll32.exe con il seguente comando:

C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15.

Una volta installato, forza il riavvio del PC ed agisce come un tipico Ransomware in grado di criptare i file dell’utente vittima sul PC, utilizzando la chiave RSA-2048.

 

Bad Rabbit per il processo di “encryption” dell’Hard Disk, si basa su DiskCryptor un utility open source. (https://diskcryptor.net/wiki/Main_Page) con lo scopo di proteggere gli HDD criptando i dati in modo sicuro.

 

Di seguito vengono indicate le estensioni dei file criptati dal malware:

.3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip

 

Un dettaglio interessante, emerso osservando il codice è la presenza di numerosi riferimenti alla serie TV Game of Thrones, indice di una possibile passione dello sviluppatore del Ransomware.

 

Movimento Laterale

Bad Rabbit, tenta di propagarsi e muoversi nella rete interna aziendale attraverso attacchi dizionario utilizzando il protocollo SMB; di seguito la lista di username/password tentate dal malware:

usernames

Administrator

Admin

Guest

User

User1

user-1

Test

root

buh

boss

ftp

rdp

rdpuser

rdpadmin

manager

support

work

other user

operator

backup

asus

ftpuser

ftpadmin

nas

nasuser

nasadmin

superuser

netguest

alex

 

 

 

passwords

Administrator

administrator

Guest

guest

User

user

Admin

adminTest

test

root

123

1234

12345

123456

1234567

12345678

123456789

1234567890

Administrator123

administrator123

Guest123

guest123

User123

user123

Admin123

admin123Test123

test123

password

111111

55555

77777

777

qwe

qwe123

qwe321

qwer

qwert

qwerty

qwerty123

zxc

zxc123

zxc321

zxcv

uiop

123321

321

love

secret

sex

god

 

 

 

Richiesta di riscatto

Come caratteristica distintiva di tutti i Ransomware, anche Bad Rabbit richiede di effettuare il pagamento della somma di 0.05 Bitcoin (280,00 $ circa) entro le successive 40 ore, in assenza del quale la somma richiesta subisce un aumento.

 

Come difendersi

E’ possibile difendere la propria infrastruttura interna adottando i seguenti accorgimenti:

  • Limitare i permessi amministrativi sul PC ai soli utenti amministratori, così da evitare l’avvio e l’esecuzione del ransomware, che come specificato precedentemente tenta di avviarsi richiedendo i privilegi più alti.
  • Procedere all’aggiornamento delle signature antivirus sull’endpoint.

Un ulteriore accorgimento di prevenzione può essere:

  • Creare i seguenti files: C:\Windows\infpub.dat e C:\Windows\cscc.dat rimuovendo per essi tutti i permessi, in modo da evitare al malware di avviarsi.

 

IoC - Indicators Of Compromised

Hash

IOC Type

Value

Install_flash_player.exe

fbbdc39af1139aebba4da004475e8839

Install_flash_player.exe

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

infpub.dat

1d724f95c61f1055f0d02c2154bbccd3 

infpub.dat

579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

dispci.exe

b14d8faf7f0cbcfad051cefe5f39645f 

dispci.exe

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

cscc.dat (dcrypt.sys)

0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6

Network Activity

caforssztxqzf2nm.onion

http://1dnscontrol[.]com/

Files

C:\Windows\infpub.dat

C:\Windows\System32\Tasks\drogon

C:\Windows\System32\Tasks\rhaegal

C:\Windows\cscc.dat

Windows Services

Display Name

Image Path

Windows Client Side Caching DDriver

cscc.dat

 

 Riferimenti

 

25 October 2017