Bad Rabbit: un nuovo ransomware pericoloso come WannaCry

Un nuovo ransomware, chiamato Bad Rabbit, sta proprio in queste ore colpendo duramente alcune regioni dell’est Europa, bersagliando principalmente agenzie governative e aziende private. Attualmente gli stati più colpiti sono Russia, Ucraina, Bulgaria, Turchia. Tra le “vittime eccellenti” l’aeroporto di Odessa e la metropolitana di Kiev in Ucraina, il Ministero delle infrastrutture ucraino e 3 agenzie di stampa russe. Nonostante non colpisca l’Italia riteniamo utile parlarne per l’inquietante numero di funzionalità che dimostra di avere e la capacità davvero impressionante di diffusione. La velocità con la quale Bad Rabbit si è diffuso infatti è simile a quella con la quale WannaCry e NotPetya si sono diffusi risultando tra i peggiori attacchi ransomware della storia.
Come si diffonde?
Secondo vari ricercatori Bad Rabbit è stato diffuso inizialmente come pacchetto di aggiornamento di Flash Player, ma il ransomware sembra dotato anche di strumenti che lo aiutano nella diffusione

laterale entro una rete: questo può spiegare come sia stata possibile una diffusione così capillare in così poco tempo.

I dati telemetrici rivelano che il ransomware è stato diffuso tramite un attacco drive-by (compromissione di un PC mediante il download automatico di un malware). Nel dettaglio le vittime vengono reindirizzate verso un falso pacchetto di aggiornamento per Flash Player da siti web legittimi. Bad Rabbit usa anche Mimikatz per estrarre le credenziali dalla memoria locale del computer, insieme ad un elenco di credenziali codificate e cerca di accedere ai server e alle workstation nella stessa rete tramite SMB e WebDAV.
Che cosa fa?

Come ransomware è molto simile a Petya e NotPetya: prima di tutto cripta i file sul computer dell’utente, quindi sostituisce l’MBR (Master Boot Record). Una volta finito il processo di criptazione Bad Rabbit riavvia il PC della vittima: questo resta quindi bloccato visualizzando solo la nota di riscatto.

Il file compromesso che avvia l’infezione si chiama install_flash_player.exe: quando viene eseguito copia un file chiamato C:\Windows\infpub.dat, quindi lo esegue usando il comando C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15.

Fonte: Bleeping Computer
Una volta eseguito il file Infpub.dat questo crea il file
C:\Windows\cscc.dat and C:\Windows\dispci.exe, quindi crea un servizio Windows chiamato Windows Client Side Caching DDriver  usato per lanciare il driver cscc.dat. Inoltre Infpub.dat crea una operazione pianificata che lancia il file dispci.exe quando l’utente esegue il login nel computer. Questo task è chiamato Rhaegal e esegue il comando C:\Windows\dispci.exe” -id [id] && exit. Il driver cscc.dat e il file dispci.exe sono usati per criptare il disco e modificare il master boot record al fine di mostrare la nota di riscatto sullo schermo del PC colpito.
Fonte: Bleeping Computer

Con questo meccanismo il ransomware installa e attiva i componenti DiskCryptor, ma, come detto, esegue anche al criptazione dei file. I file verranno criptati con la criptazione AES: la chiave di criptazione AES usata per criptare i file viene a sua volta criptata con una chiave pubblica RSA-2048 integrata. Non sappiamo ancora dove venga salvata la chiave di criptazione finale.

La particolarità di Bad Rabbit è che non aggiunge nessuna estensione ai file criptati. Aggiunge solo la stringa “encrypted” ad ogni file criptato, come mostrato sotto:

Fonte: Bleeping Computer
Come WannaCry: il protocollo SMB usato per la diffusione nella rete
Infpub.dat contiene anche la capacità di diffondersi via SMB ad altri computer. Tenta di accedere alle condivisioni di rete via SMB sfruttando le credenziali rubate dal computer della vittima o usando una lista di user name e password per trovare l’accesso. Se ottiene l’accesso alla rete, copia se stesso e esegue il ransomware su altri computer. Infine crea altri due processi pianificati che sono usati per riavviare il computer: così esegue altri programmi quando si fa il login e mostra il lock screen prima che Windows si avvii.
La nota di riscatto:è quasi identica a quella usata da NotPetya nell’ondata di attacchi di Giugno. La nota di riscatto richiede alla vittima di accedere ad una rete Tpr e eseguire il pagamento di 0,05 bitcoin (circa 280 dollari). Le vittime hanno circa 40 ore per pagare prima che l’ammontare del riscatto aumenti.
Blocco schermo in avvio.
Il portale di pagamento
Da dove viene? 
A dispetto delle somiglianze, Bad Rabbit e NotPetya condividono solo il 13% di codice.Bad Rabbit pare basato sul ransomware DiskCryptor che a sua volta prende spunto da HDDCryptor, un ransomware che ha paralizzato il sistema di trasporti di San Francisco lo scorso anno.