{"id":14391,"date":"2017-10-24T13:34:55","date_gmt":"2017-10-24T11:34:55","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=14391"},"modified":"2017-11-13T17:03:23","modified_gmt":"2017-11-13T15:03:23","slug":"bad-rabbit-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/bad-rabbit-ransomware\/14391\/","title":{"rendered":"Bad Rabbit: una nuova epidemia di ransomware \u00e8 alle porte"},"content":{"rendered":"

Il post sar\u00e0 aggiornato ogni qual volta i nostri esperti avranno nuove informazioni sul malware.<\/strong><\/p>\n

Quest\u2019anno abbiamo assistito gi\u00e0 a due ransomware di grande portata, parliamo dei dannosi WannaCry <\/a>ed ExPetr <\/a>(conosciuti anche come Petya e NotPetya).\u00a0 E sembra che stia per arrivarne un altro: il nuovo malware si chiama Bad Rabbit, \u00e8 quello che si evince dal sito sulla Darknet presente nel messaggio del riscatto.<\/p>\n\n

\"\"<\/a><\/p>\n

\u00a0<\/p>\n

Al momento sappiamo che il ransomware Bad Rabbit ha infettato alcuni grandi media russi, tra cui l\u2019agenzia di notizie Interfax e Fontanka.ru, gi\u00e0 tra le vittime confermate. L\u2019Aeroporto Internazionale di Odessa ha registrato un attacco al proprio sistema informatico, anche se non \u00e8 ancora chiaro se si tratta della stessa tipologia.<\/p>\n

I cybercriminali di Bad Rabbit chiedono come riscatto 0,05 bitocoin, circa 280 dollari secondo il tasso di cambio attuale.<\/p>\n

\"\"<\/p>\n

Secondo quanto abbiamo scoperto, l\u2019attacco non utilizza exploit, si tratta di un attacco drive-by: le vittime scaricano un falso installer di Adobe Flash da siti infetti e lanciano manualmente il file .exe, infettando il sistema. I nostri ricercatori hanno individuato numerosi siti infetti, tutti di notizie o media.<\/p>\n

Non si sa ancora se \u00e8 possibile riavere indietro i file cifrati da Bad Rabbt (pagando il riscatto o sfruttando qualche falla nel codice del ransomware). Gli esperti di Kaspersky Lab stanno effettuando le proprie indagini e vi informeremo con aggiornamenti di questo post.<\/p>\n

In base ai nostri dati, la maggior parte delle vittime si trovano in Russia. Ci sono altri casi simili, ma in misura minore, in Ucraina, Turchia e Germania e il ransomware ha infettato i dispositivi attraverso i siti hackerati di alcuni media russi. Dall\u2019indagine emerge che si tratta di un attacco mirato alle reti aziendali, che utilizza metodi simili a quelli di ExPetr, ma non possiamo confermare un collegamento. Le nostre indagini continuano; nel frattempo, su Securelist<\/a> troverete maggiori dettagli tecnici.<\/p>\n

I prodotti Kaspersky Lab individuano l\u2019attacco con la seguente dicitura:<\/p>\n

UDS:DangerousObject.Multi.Generic (individuato da Kaspersky Security Network) e PDM:Trojan.Win32.Generic (individuato da System Watcher).<\/p>\n

Ecco come non cadere nella trappola di Bad Rabbit:<\/p>\n

Utenti dei prodotti Kaspersky Lab:<\/p>\n