SICUREZZA

Cybersecurity, gli analisti: ecco come difendersi da “Bad Rabbit”

Il ransomware ha preso di mira Russia, Germania, Ucraina e altri Paesi dell’Est. Wisniewski (Sophos): “Era solo questione di tempo prima che qualcuno sfruttasse i principi di WannaCry e NotPetya per colpire di nuovo”. Arcagni (F5Networks): “Effettuare backup fuori dalla rete aziendale e aggiornare i piani di risposta”

Pubblicato il 25 Ott 2017

badrabbit-171025173935

Un nuovo ransomware minaccia l’Europa. Si tratta di “Bad Rabbit”, che sembra essere un parente prossimo i quel Petya che a giugno mise sotto scacco il continente, colpendo tra l’altro la centrale nucleare di Chernobyl e diverse aziende e servizi pubblici anche nel Regno Unito e in Italia.

La particolarità di Bad Rabbit, che ha iniziato a diffondersi in Russia, Turchia, Germania e Ucraina, è che tra le proprie vittime prediligerebbe le società collegate al mondo dell’informazione: in Russia, ad esempio avrebbe colpito anche le agenzie di stampa Interfax e Fontanka. Secondo quanto riportato da Group-Ib, società di sicurezza russa, il malware avrebbe attaccato l’aeroporto di Odessa, la metropolitana di Kiev e il Ministero delle Infrastrutture ucraino. Le vittime al momento sarebbero più di 200, con l’attacco che consiste nel tentare di infiltrarsi nei computer delle organizzazioni bloccando i sistemi operativi e chiedendo un riscatto che si aggirerebbe tra i 250 e i 300 euro in bitcoin. In più sugli schermi appare un coreografico conto alla rovescia che scandisce il tempo che manca prima che l’importo del riscatto aumenti.

Proprio al tema della sicurezza informatica sarà dedicata l’edizione 2017 del Cybersecurity 360 Summit (qui le registrazioni) di Digital 360, che si terrà il 14 novembre al centro congressi Roma eventi piazza di Spagna. L’obiettivo è di evidenziare qual è lo stato dell’arte in Italia sulla sicurezza informatica, a che punto è l’attuazione della strategia nazionale, come si sta muovendo il mondo della ricerca e che contributo è in grado di offrire al settore, quali sono i miglioramenti possibili e come possono essere implementati nella strategia complessiva.

“Questo malware si introduce nei computer delle vittime con la tecnica del drive-by-attack – afferma Alexander Vukcevic, a capo di Avira Protection Services – Sembra che in questo caso gli hacker non abbiano scelto un classico attacco di phishing, veicolando il virus tramite un file allegato a una e-mail, ma più probabilmente un banner pubblicitario infetto o un sito internet compromesso. Si tratta di un metodo già noto, celato dietro un falso Flash Player installer. Recentemente ci siamo spesso imbattuti in questo genere di malvertising, per il quale si rende necessario installare Flash player prima di poter visualizzare il contenuto dei banner. Capita che in molti così clicchino su una falsa icona di flash player, pensando che si tratti di un nuovo aggiornamento da eseguire”.

“Era solo questione di tempo prima che qualcuno sfruttasse le idee alla base di WannaCry e NotPetya per colpire di nuovo – afferma Chester Wisniewski, principal research scientist di Sophos, società specializzata in sicurezza informatica – Il ransomware chiamato Bad Rabbit colpisce attraverso un fake Adobe Flash Player installer. I primi attacchi sono stati compiuti in Russia e Ucraina. Ciò che rende questo malware così pericoloso rispetto ad un qualunque ransomware, è la velocità con cui si propaga attraverso allegati di email o plugin web vulnerabili. I primi indizi fanno pensare che contenga lo stesso strumento di ‘password stealing’ di NotPetya, consentendo così di paralizzare qualunque azienda in pochissimo tempo”.

“L’attacco in corso tramite il malware Bad Rabbit non viene rilevato dalle soluzioni anti-virus più diffuse e questo fa sì che gli utenti possano essere infettati senza saperlo – spiega Paolo Arcagni, system engineer manager di F5 Networks – Le prime analisi effettuate indicano che lo script del malware, dopo aver identificato gli utenti da colpire, si presenta come un prompt aggiornato di un bug di Adobe Flash. Quando l’utente lo accetta, viene scaricato il malware e parte l’esecuzione dell’attacco con crittografia. In assenza di controlli rigorosi e soluzioni di sicurezza adeguate, l’azienda e il suo patrimonio vengono lasciate nelle mani dei suoi utenti. Anche in questo caso, come per molti altri aspetti della sicurezza, prevenire è meglio che curare. Purtroppo, il ransomware è difficile da prevenire totalmente e non esiste una soluzione definitiva che protegga da questo tipo di attacco. I metodi migliori attualmente disponibili includono l’attenzione a effettuare backup affidabili ospitati al di fuori della rete aziendale e a prevedere un piano di risposta aggiornato. Inoltre, le organizzazioni devono dotarsi di sistemi come Ssl per ispezionare i dispositivi. È importante anche filtrare e monitorare le email per gli attacchi di phishing – prosegue Arcagni – ripulire il traffico crittografato che potrebbe nascondere software dannoso e ridurre e limitare i privilegi amministrativi per contenere danni derivanti da un account compromesso. Infine, tutte le organizzazioni dovrebbero sempre garantire che la formazione e l’educazione dei propri utenti avvengano in modo adeguato e regolare”.

“Anche se non è ancora noto quale sia la variante di ransomware coinvolta, questo attacco è la prova evidente di quanto possa essere dannoso un attacco ransomware e quanto rapidamente possa provocare danni ai servizi in caso di assenti misure di sicurezza – sottolinea Yaniv Balmas, security research group manager in Check Point Software Technologies – Le aziende devono essere in grado di prevenire le infezioni da subito, eseguendo la scansione, bloccando e filtrando i contenuti sospetti prima che questi arrivino alle reti e inizino a codificare i file. Il numero degli attacchi di ransomware è raddoppiato a livello mondiale nei primi sei mesi del 2017 rispetto al 2016, ma il 99% delle organizzazioni non ha ancora messo in atto le tecnologie base per prevenire questi tipi di attacchi. Ripetiamo ancora una volta che queste minacce potrebbero essere evitate se si applicassero le opportune misure di sicurezza”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati