Alcune aziende di trasporti come anche diversi enti governativi in Ucraina hanno subito degli attacchi informatici che, secondo quanto riferito dai media, hanno portato alla codifica dei computer colpiti.
Fonti pubbliche hanno confermato che sono stati attaccati i sistemi informatici della metropolitana di Kiev, dell’aeroporto di Odessa, dei ministeri delle infrastrutture e delle finanze ucraini, nonché diverse aziende in Russia.
ESET ha scoperto che nel caso della metropolitana di Kiev è stato usato il malware Diskcoder.D, nuova variante del ransomware noto anche come Petya utilizzato in precedenza in un attacco informatico su larga scala a giugno del 2017.
La telemetria ESET ha identificato centinaia di eventi riconducibili al Diskcoder.D. e anche se la maggior parte delle rilevazioni ha interessato la Russia e l’Ucraina, sono stati infettati diversi computer anche in Turchia, in Bulgaria e in altri paesi.
Secondo i ricercatori di sicurezza ESET il Diskcoder.D usa lo strumento Mimikatz per sottrarre le credenziali dai sistemi infettati. Oltre a utilizzare questa tecnica, è stato scoperto che il malware contenie nel suo codice anche un elenco predefinito di credenziali.
Uno dei metodi di distribuzione del Bad Rabbit è il drive-by download. Alcuni famosi siti sono stati compromessi iniettando nel loro codice HTML o in uno dei loro file .js un JavaScript infetto.
Questo script riporta il seguente contenuto riferito all’indirizzo 185.149.120[.]3 che, al momento, non sembra raggiungibile.
- Agente-Utente Browser
- Referrer
- Cookie dal sito visitato
- Nome del dominio visitato
La logica lato server può determinare se il visitatore si è interessato al sito e aggiungere contenuti alla pagina. In quel caso verrà mostrata una richiesta di scaricare un aggiornamento di Flash Player al centro della pagina stessa.
Cliccando sul pulsante “Installa” verrà scaricato un file da 1dnscontrol[.]com. Questo eseguibile, install_flash_player.exe è il dropper per il Win32/Filecoder.D.
Dopo l’esecuzione di questo file il computer risulterà bloccato e verrà mostrata la seguente richiesta di riscatto:
La pagina di pagamento:
Il Win32/Diskcoder.D ha la capacità di diffondersi attraverso SMB. Contrariamente a quanto riportato da alcune fonti, il malware non usa la vulnerabilità EthernalBlue come nel caso della diffusione del Win32/Diskcoder.C (NotPetya), ma controlla inizialmente la rete interna per trovare le seguenti condivisioni SMB aperte:
admin
atsvc
browser
eventlog
lsarpc
netlogon
ntsvcs
spoolss
samr
srvsvc
scerpc
svcctl
wkssvc
Successivamete viene lanciato lo strumento Mimikatz per sottrarre le credenziali dal computer infettato, forzando l’accesso alle share di rete utilizzando l’elenco predefinito di nomi utente e password
Quando vengono intercettare le credenziali giuste, viene rilasciato il file infpub.dat nella directory Windows insieme al file rundll.exe attraverso SCManager.
Il Win32/Diskcoder.D è una versione modificata del Win32/Diskcoder.C dove gli errori nel processo di codifica dei file sono stati risolti. Per codificare il contenuto dei sistemi infettati ora viene utilizzato il DiskCryptor, un software opensource legittimo per la crittografia completa dei dischi. Le chiavi vengono generate usando CryptGenRandom e poi protette da una chiave pubblica RSA 2048.
I file crittografati presentano l’estensione .encrypted, mentre come per la precedente versione l’algoritmo di codifica è l’AES-128-CBC.
Attualmente non è possibile ripristinare i file codificati dal Bad Rabbit.
Di seguito le percentuali delle rilevazioni dei download infetti:
Russia: 65%
Ucraina: 12.2%
Bulgaria: 10.2%
Turchia: 6.4%
Giappone: 3.8%
Altri: 2.4%
Alcuni dei campioni analizzati
I server di comando e controllo (C&C)
Sito per il pagamento: http://caforssztxqzf2nm[.]onion
URL iniettato: http://185.149.120[.]3/scholargoogle/
URL distribuzione: hxxp://1dnscontrol[.]com/flash_install.php
Elenco dei siti compromessi:
hxxp://argumentiru[.]com
hxxp://www.fontanka[.]ru
hxxp://grupovo[.]bg
hxxp://www.sinematurk[.]com
hxxp://www.aica.co[.]jp
hxxp://spbvoditel[.]ru
hxxp://argumenti[.]ru
hxxp://www.mediaport[.]ua
hxxp://blog.fontanka[.]ru
hxxp://an-crimea[.]ru
hxxp://www.t.ks[.]ua
hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
hxxp://www.otbrana[.]com
hxxp://calendar.fontanka[.]ru
hxxp://www.grupovo[.]bg
hxxp://www.pensionhotel[.]cz
hxxp://www.online812[.]ru
hxxp://www.imer[.]ro
hxxp://novayagazeta.spb[.]ru
hxxp://i24.com[.]ua
hxxp://bg.pensionhotel[.]com
hxxp://ankerch-crimea[.]ru
Lascia un commento