Anche Bad Rabbit usa exploit rubati all’NSA: implementa ETERNALROMANCE

Due giorni dopo l’attacco ransomware di Bad Rabbit, che ha duramente colpito Russia e Ucraina (ma registrato vittime anche in Germania, Turchia, Stati Uniti ecc..), i ricercatori di sicurezza hanno scoperto altri dettagli riguardo al funzionamento del malware. Inizialmente si era infatti convinti che il meccanismo di diffusione del ransomware dalla vittima iniziale ai computer nella stessa rete passasse dal tentativo di accedere via protocollo SMB usando una serie di credenziali: una nuova ricerca (Cisco Talos e F-Secure) rivela che invece Bad Rabbit ha usato una versione modificata di un exploit dell’NSA per migliorare il processo di diffusione.
Non c’è due senza tre.
E’ la terza volta, sono quest’anno, che l’attacco di un ransomware raggiunge livelli di diffusione mondiale sfruttando cyber-armi approntate dall’NSA e pubblicate online dopo l’attacco del gruppo Shadow Brokers che le ha sottratte dall’NSA stessa.
La prima ondata ransomware vide WannaCry, ne abbiamo scritto abbondantemente, come protagonista indiscusso: a Maggio infettò migliaia di reti sfruttando l’exploit ETERNALBLUE per diffondersi lateralmente nelle reti stesse. Un mese dopo NotPetya (un disk wiper e non un vero e proprio ransomware) sfruttò gli exploit ETERNALBLUE e ETERNALROMANCE per le stesse finalità.
Il codice di ETERNALROMANCE dentro Bad Rabbit

In fase di prima analisi non era risultata traccia di exploit dell’NSA: al contrario sembrava che il meccanismo di diffusione laterale sfruttasse Mimikatz per rubare le credenziali di accesso e il più classico attacco brute-force (con credenziali hard-coded) per accedere alle condivisioni SMB. Ieri invece Cisco Talos ha aggiornato questa analisi: ulteriori “scavi” nel codice del ransomware hanno portato al ritrovamento di ETERNALROMANCE, l’exploit dell’NSA per il protocollo SMB.

Inizialmente l’exploit non era stato identificato.

L’aggiunta di ETERNALROMANCE non è una pura e semplice implementazione: il codice dell’exploit è stato infatti leggermente modificato. Così la maggior parte dei ricercatori, ma anche i sistemi di scansione automatizzati, non sono stati in grado di individuarlo.
“E’ molto simile all’implementazione,  di Phyton nell’exploit ETERNALROMANCE, usato anche dal disk wiper NotPetya”, affermano i ricercatori di Cisco Talos. “Tuttavia, l’implementazione di ETERNALROMANCE in Bad Rabbit è differente da quella di NotPetya, anche se si basa largamente sulla versione pubblicata dopo il leak di ShadowBrokers”. 
Insomma i ricercatori paiono abbastanza sicur da poter affermare che Bad Rabbit è prodotto a partire dallo stesso codice di base di NotPetya. I sospetti puntanto su TeleBot, un gruppo di cyber-spionaggio  che alcuni ritengono collegato al governo Russo.
PROMEMORIA
La maggior parte di questi exploit sfrutta le vulnerabilità del protocollo SMB. Queste vulnerabiltà furono risolte già da prima dell’attacco di WannaCry. Ricordiamo quindi  di aggiornare il protocollo SMB.