Bad Rabbit, LokiBot: come difendersi da ransomware, trojan e phishing

Naviga SWZ: Home Page » Articoli
Articolo del 1529562605
Autore: Fabio Ferraro
Categoria: sicurezza





Bad Rabbit: cos´è, come funziona e come si può evitare. 

La storia di Bad Rabbit, malware di tipo ransomware, inizia nell´ ottobre 2017 quando ha iniziato a mietere vittime nell´Est Europa (principalmente Russia, ma anche Turchia, Ucraina e Germania). Sotto attacco agenzie di media, l´aereoporto di Odessa, il Ministero delle Infrastrutture ucraino e la metropolitana di Kiev. La grande pericolosità di questo malware sta nella sua capacità di diffondersi in una rete locale: un solo computer infetto può diventare vettore di una diffusione in un´intera LAN. Questo è possibile grazie allo sfruttamento del servizio SMB (Server Message Block) e lo strumento Mimikatz, applicativo in grado di elaborare i file dumb ed estrapolare credenziali.
Una volta intrufolatosi in un sistema, Bad Rabbit procederà a criptare i file archiviati nella macchina. Portata al termine la fase di criptaggio, l´utente visualizzerà una schermata nera con scritte rosse, che gli notificherà di esser vittima di un ransomware e le procedure per ritornare in possesso dei propri dati. Quest´ultime consisteranno nel pagamento di 0.5 bitcoin (circa 240 euro) attraverso il link (su Tor) allegato. L´utente avrà quaranta ore per provvedere al pagamento: in caso contrario, il riscatto diverrà più oneroso. 

Bad Rabbit, LokiBot: come difendersi da ransomware, trojan e phishing - immagine 2
A differenza di altri Ransomware, Bad Rabbit non si diffonde come allegato e-mail. Sfrutta il "drive-by attacks", infiltrandosi in siti attendibili, attraverso la compilazione di script php. L´utente visualizzerà un banner che richiederà l´aggiornamento manuale di Java: procedendo, si installerà nella propria macchina il malware.  Una metodologia di infezione tradizionale ma, stando ai risultati ottenuti, molto efficace. 


Che cos´è un Ransomware

I Ransom (riscatto) sono malware (che si diffondono come un worm o un trojan) che crittografano i dati o bloccano l´uso del computer fino a che non si paga il riscatto attraverso un servizio anonimo che termina con un pagamento in bitcoin (per diverse centinaia di euro). Per Ransomware si intendono tutti quei malware che appongono un limite alle funzionalità di un sistema (può essere bloccato l’utilizzo del sistema o impedito l’avvio oltre a non poter utilizzare alcuni dati in esso contenuti).
Alcuni si presentano sotto forma di un messaggio in cui, spacciandosi per un ente governativo richiedono il pagamento di una multa per reati legati al traffico Internet (uno dei classici è il presunto possesso da parte della vittima di materiale pedopornografico), altri, più pericolosi, cifrano alcuni file presenti su un pc con una chiave cifrata che viene rivelata solo in cambio di esose somme di denaro, spesso minacciando di distruggere la chiave entro un tot di tempo.

Kaspersky Lab Internet Security 2017, 1 user, 1 anno, Italiano
Amazon.it: - Prezzo scontato, stai risparmiando: 3,60 €
Compra ora
La continua evoluzione dei Ransomware sembra non volersi interrompere, possono attaccare diversi sistemi operativi (non solo Windows quindi, ma anche Mac OSX e Linux) o piattaforme web. Il CryptoLocker, sconfitto a metà 2014 (grazie all’inibizione del controllo dei dispositivi infetti da parte degli hacker), ha lasciato una grande scia di “figli”, quali CryptoWall, Teslacrypt, e le versioni 2,3 e 4 di Cryptolocker.


Come ci si infetta da Ransomware

L’infezione da Ransomware può avvenire in diversi modi: è possibile scaricarlo durante la navigazione in internet, magari cliccando un link o un annuncio pubblicitario, oppure effettuando il download di un allegato di una mail o di un software. Il Ransomware potrebbe sfruttare le vulnerabilità di un sistema o di un programma o insediarsi in una macchina attraverso un dispositivo rimovibile infetto.

Una volta nella macchina, il malware si attiva, criptando i file presenti salvati nel sistema o limitando l’accesso alle funzioni, modificando l’MBR o la tabella delle partizioni. Per eliminare le modifiche apportate o decriptare i file personali, verrà richiesto dall’autore del Ransomware un riscatto, attuabile tramite bonifico, voucher o più comunamente, Bitcoin.

Come si può evitare

In realtà eliminare un Ransomware non risulta così difficile e anche solo una reinstallazione può risolvere i problemi creati da questo malware. Nel caso di criptaggio di file però, il discorso diventa più delicato, poiché forzare le moderne chiavi di crittografia (quasi impossibile la decrittazione all’apertura di questi file). Quindi, per non pagare il riscatto, unico consiglio è mantenere programmi e antivirus aggiornati e tanto backup offline e online (tramite connessione FTP e di conseguenza autorizzazione) dei dati importanti.



« Precedente     1 [2] 3  4     Successiva »   ]

Pagine Totali: 4