Saluti, cari visitatori e ospiti di questo blog! Oggi nel mondo è apparso un altro virus ransomware denominato: “ Coniglio cattivo» — « Coniglietto malvagio". Questo è il terzo ransomware di alto profilo nel 2017. I precedenti erano e (aka NotPetya).
Finora diversi media russi avrebbero sofferto di questo ransomware, tra cui Interfax e Fontanka. Anche l'aeroporto di Odessa segnala un attacco hacker, probabilmente correlato allo stesso Bad Rabbit.
Per la decriptazione dei file gli aggressori richiedono 0,05 bitcoin, che al tasso di cambio attuale equivalgono a circa 283 dollari o 15.700 rubli.
I risultati della ricerca di Kaspersky Lab indicano che l'attacco non utilizza exploit. Bad Rabbit si diffonde attraverso siti Web infetti: gli utenti scaricano un programma di installazione falso Adobe Flash, avviarlo manualmente e quindi infettare i loro computer.
Secondo Kaspersky Lab, gli esperti stanno indagando su questo attacco e stanno cercando modi per combatterlo, oltre alla possibilità di decrittografare i file colpiti dal ransomware.
La maggior parte delle vittime dell'attentato si trova in Russia. E' noto anche questo attacchi simili si verificano in Ucraina, Turchia e Germania, ma in numero molto minore. Crittografo Coniglio cattivo si sta diffondendo attraverso una serie di siti mediatici russi infetti.
Kapersky Lab ritiene che tutti i segnali indichino che si tratti di un attacco mirato reti aziendali. Vengono utilizzati metodi simili a quelli osservati nell'attacco ExPetr, ma non possiamo confermare la connessione con ExPetr.
È già noto che i prodotti Kaspersky Lab rilevano uno dei componenti del malware utilizzando un servizio cloud Sicurezza Kaspersky Rete come UDS:DangerousObject.Multi.Generic e anche con utilizzando il sistema Osservatore come PDM:Trojan.Win32.Generic.
Per evitare di diventare vittima della nuova epidemia di “Bad Bunny”, “ Kaspersky Lab"Si consiglia di effettuare le seguenti operazioni:
Se hai installato Kaspersky Anti-Virus, allora:
Per chi non ha questo prodotto:
Un altro consiglio molto importante da parte mia:
Fallo sempre backup (backup - copia di backup ) file che sono importanti per te. Sui supporti rimovibili, in servizi cloud! Ciò ti farà risparmiare nervi, denaro e tempo!
Ti auguro di non prendere questa infezione sul tuo PC. Avere una rete Internet pulita e sicura!
Il virus ransomware Bad Rabbit, attaccato il giorno prima dai media russi, ha tentato di attaccare anche le banche russe tra le prime 20, ha detto a Forbes Group-IB, che indaga e previene i crimini informatici. Un rappresentante dell'azienda si è rifiutato di chiarire i dettagli sugli attacchi agli istituti di credito, spiegando che Group-IB non divulga informazioni sui clienti che utilizzano il suo sistema di rilevamento delle intrusioni.
Secondo gli esperti di sicurezza informatica, i tentativi di infettare con il virus le infrastrutture delle banche russe si sono verificati il 24 ottobre dalle 13:00 alle 15:00, ora di Mosca. Il Gruppo-IB ritiene che gli attacchi informatici abbiano dimostrato una migliore protezione per le banche rispetto alle aziende del settore non bancario. Lo aveva riferito in precedenza la società nuovo virus-crittografo probabilmente legato all’epidemia di giugno Ransomware NotPetya(questo è indicato dalle coincidenze nel codice), ha attaccato i media russi. Era circa sistemi di informazione Agenzia Interfax, nonché i server del portale di notizie di San Pietroburgo Fontanka. Inoltre, il virus ha colpito i sistemi della metropolitana di Kiev, del Ministero delle Infrastrutture ucraino e dell’Aeroporto Internazionale di Odessa. NotPetya ha colpito durante l'estate le società energetiche, di telecomunicazioni e finanziarie soprattutto in Ucraina. Per decriptare i file infettati dal virus BadRabbit, gli aggressori richiedono 0,05 bitcoin, che al tasso di cambio attuale equivalgono a circa 283 dollari o 15.700 rubli.
Kaspersky Lab ha chiarito che questa volta gli hacker hanno scelto la maggior parte delle vittime in Russia. Tuttavia, l’azienda ha registrato attacchi simili in Ucraina, Turchia e Germania, ma “in numeri significativamente inferiori”. “Tutti i segnali indicano che si tratta di un attacco mirato alle reti aziendali. Vengono utilizzati metodi simili a quelli che abbiamo osservato nell’attacco ExPetr, ma non possiamo confermare il collegamento con ExPetr”, ha detto un rappresentante dell’azienda. La fonte di Forbes ha aggiunto che tutti i prodotti Kaspersky Lab "rilevano questi file dannosi come UDS:DangerousObject.Multi.Generic".
Per proteggersi da questo attacco, Kaspersky Lab consiglia di utilizzare un antivirus con KSN abilitato e il modulo Monitoraggio del sistema. “Se non è installata una soluzione di sicurezza Kaspersky Lab, consigliamo di bloccare l'esecuzione dei file denominati c:\windows\infpub.dat e C:\Windows\cscc.dat utilizzando gli strumenti amministrazione di sistema“, ha informato Vyacheslav Zakorzhevsky, capo del dipartimento di ricerca anti-virus di Kaspersky Lab.
Group-IB osserva che per impedire al virus di crittografare i file, "è necessario creare il file C:\windows\infpub.dat e concedergli diritti di sola lettura". Successivamente, anche se infetti, i file non verranno crittografati, ha affermato la società. Allo stesso tempo, è necessario isolare rapidamente i computer che sono stati rilevati mentre inviano file dannosi per evitare infezioni su larga scala di altri computer collegati alla rete. Successivamente, gli utenti devono assicurarsi che le copie di backup dei principali nodi della rete siano aggiornate e intatte.
Una volta completate le azioni iniziali, si consiglia all'utente di aggiornare sistema operativo e sistemi di sicurezza, bloccando contemporaneamente indirizzi IP e nomi di dominio, da cui sono stati distribuiti file dannosi. Group-IB consiglia di modificare tutte le password con password più complesse e di bloccare le finestre pop-up, oltre a vietare la memorizzazione delle password in testo non crittografato in LSA Dump.
Nel 2017 si sono già registrate due grandi epidemie di ransomware: WannaCry (ha attaccato 200.000 computer in 150 paesi) ed ExPetr. Quest'ultimo è Petya e allo stesso tempo NotPetya, osserva Kaspersky Lab. Ora, secondo l’azienda, “il terzo sta iniziando”. Il nome del nuovo virus ransomware Bad Rabbit "è scritto su una pagina della darknet, alla quale i suoi creatori inviano chiarimenti sui dettagli", chiarisce l'azienda. Group-IB ritiene che Bad Rabbit sia una versione modificata di NotPetya con errori nell'algoritmo di crittografia corretti. In particolare, il codice di Bad Rabbit comprende blocchi completamente identici a NotPetya.
ESET Russia concorda sul fatto che il malware utilizzato nell'attacco, "Win32/Diskcoder.D", è una versione modificata di "Win32/Diskcoder.C", meglio noto come Petya/NotPetya. Come ha spiegato Vitaly Zemskikh, responsabile del supporto alle vendite di ESET Russia, in una conversazione con Forbes, le statistiche degli attacchi per paese "corrispondono in gran parte alla distribuzione geografica dei siti contenenti JavaScript dannoso". Pertanto, la maggior parte dei contagi si è verificata in Russia (65%), seguita da Ucraina (12,2%), Bulgaria (10,2%), Turchia (6,4%) e Giappone (3,8%).
L'infezione con il virus Bad Rabbit si è verificata dopo aver visitato siti compromessi. Gli hacker hanno caricato le risorse compromesse con un'iniezione JavaScript nel codice HTML, che mostrava ai visitatori una finestra falsa che chiedeva loro di installare un aggiornamento Adobe. Flash Player. Se l'utente ha acconsentito all'aggiornamento, il file file dannoso denominato "install_flash_player.exe". "Infettare postazione di lavoro all'interno di un'organizzazione, il crittografo può essere distribuito all'interno della rete aziendale tramite il protocollo SMB. A differenza del suo predecessore Petya/NotPetya, Bad Rabbit non utilizza l'exploit EthernalBlue, ma scansiona invece la rete alla ricerca di accessi aperti. risorse di rete", dice Zemskikh. Successivamente, sullo computer infetto viene avviato lo strumento Mimikatz per raccogliere le credenziali. Inoltre, è presente un elenco codificato di accessi e password.
Non ci sono ancora informazioni su chi abbia organizzato gli attacchi hacker. Allo stesso tempo, secondo Group-IB, gli attacchi di massa simili WannaCry e NotPetya potrebbero essere collegati a gruppi di hacker finanziati dagli Stati. Gli esperti traggono questa conclusione dal presupposto che i vantaggi finanziari di tali attacchi sono “trascurabili” rispetto alla complessità della loro attuazione. "Molto probabilmente non si trattava di tentativi di fare soldi, ma di testare il livello di protezione delle reti infrastrutturali critiche di imprese, agenzie governative e società private", concludono gli esperti. Un rappresentante del Gruppo IB ha confermato a Forbes che l'ultimo virus, Bad Rabbit, potrebbe rivelarsi un test per la protezione delle infrastrutture dei dipartimenti governativi e delle imprese. “Sì, non è escluso. Considerando che gli attacchi sono stati effettuati in modo mirato – su infrastrutture critiche – l’aeroporto, la metropolitana, le agenzie governative”, spiega l’interlocutore di Forbes.
Rispondendo alla domanda sui responsabili dell'ultimo attacco, ESET Russia sottolinea che utilizzando solo gli strumenti di un'azienda antivirus è impossibile condurre un'indagine di alta qualità e identificare le persone coinvolte; questo è compito di specialisti di diverso profilo. “Come azienda antivirus, identifichiamo metodi e obiettivi degli attacchi, strumenti dannosi degli aggressori, vulnerabilità ed exploit. Trovare i colpevoli, le loro motivazioni, la nazionalità, ecc. non è nostra responsabilità", ha detto un rappresentante dell'azienda, promettendo di trarre le conclusioni sulla nomina di Bad Rabbit sulla base dei risultati dell'indagine. "Sfortunatamente, nel prossimo futuro vedremo molti incidenti simili: il vettore e lo scenario di questo attacco hanno dimostrato un'elevata efficienza", prevede ESET Russia. L'interlocutore di Forbes ricorda che per il 2017 la società prevedeva un aumento del numero di attacchi mirati contro il settore aziendale, principalmente contro le organizzazioni finanziarie (di oltre il 50%, secondo stime preliminari). "Queste previsioni ora si stanno avverando, assistiamo ad un aumento del numero di attacchi insieme ad un aumento dei danni alle aziende colpite", ammette.
Terzo attacco informatico su larga scala in un anno. Questa volta il virus ha un nuovo nome, Bad Rabbit, e vecchie abitudini: crittografia dei dati ed estorsione di denaro per lo sblocco. E la Russia, l’Ucraina e alcuni altri paesi della CSI si trovano ancora nella zona colpita.
The Bad Rabbit segue il solito schema: invia un'e-mail di phishing con un virus o un collegamento allegato. In particolare, gli aggressori potrebbero spacciarsi per supporto tecnico di Microsoft e chiederti di aprire urgentemente un file allegato o di seguire un collegamento. Esiste un altro modo di distribuzione: una finestra falsa Aggiornamenti dell'Adobe Flash Player. In entrambi i casi, Bad Rabbit si comporta come quello clamoroso di non molto tempo fa: crittografa i dati della vittima e chiede un riscatto di 0,05 bitcoin, ovvero circa 280 dollari al cambio del 25 ottobre 2017. Le vittime della nuova epidemia sono state Interfax, la pubblicazione di San Pietroburgo Fontanka, la metropolitana di Kiev, l'aeroporto di Odessa e il Ministero della Cultura dell'Ucraina. Ci sono prove che il nuovo virus abbia tentato di attaccare diverse note banche russe, ma l’idea è fallita. Gli esperti collegano Bad Rabbit ai precedenti grandi attacchi registrati quest’anno. La prova di ciò è il software di crittografia simile Diskcoder.D, e questo è lo stesso crittografo Petya, solo leggermente modificato.
Gli esperti consigliano ai proprietari Computer Windows creare un file "infpub.dat" e inserirlo Cartella Windows sull'unità "C". Di conseguenza, il percorso dovrebbe essere simile a questo: C:\windows\infpub.dat. Questo può essere fatto utilizzando un normale blocco note, ma con i diritti di amministratore. Per fare ciò, trova un collegamento al programma Blocco note, fai clic con il pulsante destro del mouse e seleziona "Esegui come amministratore".
Quindi devi solo salvare questo file all'indirizzo C:\windows\, cioè nella cartella Windows sull'unità “C”. Nome del file: infpub.dat, dove "dat" è l'estensione del file. Non dimenticare di sostituire l'estensione standard del blocco note "txt" con "dat". Dopo aver salvato il file, apri la cartella Windows, trova il file infpub.dat creato, fai clic destro su di esso e seleziona "Proprietà", dove in basso devi selezionare la casella di controllo "Sola lettura". In questo modo, anche se prendi il virus Bad Bunny, non sarà in grado di crittografare i tuoi dati.
Non dimenticare che puoi proteggerti da qualsiasi virus semplicemente seguendo alcune regole. Può sembrare banale, ma non aprire mai le email, tanto meno i loro allegati, se l'indirizzo ti sembra sospetto. Le e-mail di phishing, ovvero mascherate da altri servizi, sono il metodo di infezione più comune. Fai attenzione a cosa apri. Se in un'e-mail il file allegato si chiama "Important document.docx_______.exe", non dovresti assolutamente aprire questo file. Inoltre, è necessario disporre di copie di backup di file importanti. Ad esempio, è possibile duplicare un archivio di famiglia con fotografie o documenti di lavoro unità esterna o a archiviazione nel cloud. Non dimenticare quanto sia importante utilizzare una licenza Versione di Windows e installa gli aggiornamenti regolarmente. Le patch di sicurezza vengono rilasciate regolarmente da Microsoft e chi le installa non ha problemi con tali virus.
Ieri, 24 ottobre 2017, i grandi media russi, così come una serie di agenzie governative ucraine, sono stati attaccati da aggressori sconosciuti. Tra le vittime c'erano Interfax, Fontanka e almeno un'altra pubblicazione online anonima. Secondo i media sono stati segnalati anche problemi aeroporto internazionale"Odessa", Metropolitana di Kiev e Ministero delle Infrastrutture ucraino. Secondo gli analisti del Gruppo IB, i criminali hanno tentato anche di attaccare le infrastrutture bancarie, ma i tentativi non hanno avuto successo. Gli specialisti di ESET, a loro volta, sostengono che gli attacchi hanno colpito utenti provenienti da Bulgaria, Turchia e Giappone.
Come si è scoperto, le interruzioni nel lavoro di aziende e agenzie governative non sono state causate da massicci attacchi DDoS, ma da un ransomware chiamato Bad Rabbit (alcuni esperti preferiscono scrivere BadRabbit senza spazio).
Ieri si sapeva poco del malware e dei meccanismi del suo funzionamento: è stato riferito che il ransomware chiedeva un riscatto di 0,05 bitcoin, e gli esperti del Gruppo-IB hanno anche affermato che l'attacco era in preparazione da diversi giorni. Sul sito web degli aggressori sono stati così scoperti due script JS e, a giudicare dalle informazioni del server, uno di essi è stato aggiornato il 19 ottobre 2017.
Ora, anche se non è passato nemmeno un giorno dall'inizio degli attacchi, gli specialisti di quasi tutte le principali società di sicurezza informatica del mondo hanno già effettuato l'analisi del ransomware. Allora, cos’è Bad Rabbit e dovremmo aspettarci una nuova “epidemia di ransomware” come WannaCry o NotPetya?
In che modo Bad Rabbit è riuscito a causare gravi interruzioni dei media quando si trattava solo di falsi aggiornamenti Flash? Secondo ESET , Emsisoft E Fox-IT, dopo l'infezione, il malware utilizzava l'utilità Mimikatz per estrarre le password da LSASS e disponeva anche di un elenco degli accessi e delle password più comuni. Grazie a tutto ciò il malware si è diffuso tramite SMB e WebDAV ad altri server e postazioni di lavoro che si trovavano sulla stessa rete del dispositivo infetto. Allo stesso tempo, lo credono gli esperti delle società sopra elencate e i dipendenti di Cisco Talos in questo caso non sono stati rubati strumenti alle agenzie di intelligence che sfruttavano i difetti delle PMI. Lascia che te lo ricordi Virus WannaCry e NotPetya sono stati distribuiti utilizzando questo particolare exploit.
Tuttavia, gli esperti sono comunque riusciti a trovare alcune somiglianze tra Bad Rabbit e Petya (NotPetya). Pertanto, il ransomware non solo crittografa i file utente utilizzando DiskCryptor open source, ma modifica l'MBR (Master Boot Record), dopodiché riavvia il computer e visualizza un messaggio di riscatto sullo schermo.
Sebbene il messaggio con le richieste degli aggressori sia quasi identico a quello degli operatori NotPetya, gli esperti hanno opinioni leggermente diverse riguardo al collegamento tra Bad Rabbit e NotPetya. Così lo hanno calcolato gli analisti di Intezer fonte malware
Il virus ransomware, noto come Bad Rabbit, ha attaccato decine di migliaia di computer in Ucraina, Turchia e Germania. Ma la maggior parte degli attacchi è avvenuta in Russia. Che tipo di virus è questo e come proteggere il tuo computer, te lo diciamo nella nostra sezione Domande e risposte.
Chi ha sofferto di Bad Rabbit in Russia?
Il virus ransomware Bad Rabbit ha iniziato a diffondersi il 24 ottobre. Tra le vittime delle sue azioni ci sono l'agenzia di stampa Interfax e la pubblicazione Fontanka.ru.
Anche la metropolitana di Kiev e l'aeroporto di Odessa sono stati colpiti dalle azioni degli hacker. Poi si è saputo del tentativo di hackerare i sistemi di diverse banche russe tra le prime 20.
A quanto pare si tratta di un attacco mirato alle reti aziendali, poiché utilizza metodi simili a quelli osservati nell'attacco del virus ExPetr.
Il nuovo virus pone a tutti una richiesta: un riscatto di 0,05 Bitcoin. In rubli, si tratta di circa 16 mila rubli. Tuttavia, riferisce che il tempo per soddisfare questo requisito è limitato. Per tutto vengono concesse poco più di 40 ore. Inoltre, la commissione di riscatto aumenterà.
Cos’è questo virus e come funziona?
Avete già scoperto chi si nasconde dietro la sua diffusione?
Non è stato ancora possibile scoprire chi si nasconde dietro questo attacco. L'indagine ha portato i programmatori solo al nome di dominio.
Gli esperti delle aziende antivirus notano la somiglianza del nuovo virus con il virus Petya.
Ma, a differenza dei virus precedenti, quest'anno gli hacker hanno deciso di prendere la strada più semplice, riferisce 1tv.ru.
"A quanto pare, i criminali si aspettavano che nella maggior parte delle aziende gli utenti aggiornassero i propri computer dopo questi due attacchi, e hanno deciso di provare un rimedio abbastanza economico - Ingegneria sociale, per infettare gli utenti all'inizio in modo relativamente inosservato", ha affermato Vyacheslav Zakorzhevsky, capo del dipartimento di ricerca anti-virus di Kaspersky Lab.
Come proteggere il computer da un virus?
Assicurati di farlo copia di backup il tuo sistema. Se utilizzi Kaspersky, ESET, Dr.Web o altri analoghi popolari per la protezione, dovresti aggiornare tempestivamente i database. Inoltre, per Kaspersky è necessario abilitare il “Monitoraggio attività” (System Watcher) e in ESET è necessario applicare le firme con l'aggiornamento 16295, informa talkdevice.
Se non disponete di programmi antivirus bloccate l'esecuzione dei file C:\Windows\infpub.dat e C:\Windows\cscc.dat. Questo viene fatto attraverso l'editor politiche di gruppo o AppLocker per Windows.
Interrompere l'esecuzione del servizio: Strumentazione gestione Windows (WMI). Attraverso bottone giusto accedere alle proprietà del servizio e selezionare la modalità “Disabilitato” in “Tipo di avvio”.
