Check Point propone alcune osservazioni sull’attacco cyber causato dal ransomware Bad Rabbit.
L’attacco ransomware denominato Bad Rabbit ha provocato danni e allarme in giro per il mondo. Check Point Software Technologies cerca di fare il punto su questo attacco cyber che rimane, almeno in parte, ancora misterioso.
Check Point Software Technologies Anche se non è ancora noto quale sia la variante di ransomware coinvolta, questo attacco è la prova evidente di quanto possa essere dannoso un attacco ransomware e quanto rapidamente possa provocare danni ai servizi in caso di assenti misure di sicurezza. Le aziende devono essere in grado di prevenire le infezioni da subito, eseguendo la scansione, bloccando e filtrando i contenuti sospetti prima che questi arrivino alle reti e inizino a codificare i file. Il numero degli attacchi di ransomware è raddoppiato a livello mondiale nei primi sei mesi del 2017 rispetto al 2016, ma il 99% delle organizzazioni non ha ancora messo in atto le tecnologie base per prevenire questi tipi di attacchi. Ripetiamo ancora una volta che queste minacce potrebbero essere evitate se si applicassero le opportune misure di sicurezza.
Yaniv Balmas, Security Research Group Manager, Check Point Software Technologies Pare che la Russia sia il paese più colpito da questo attacco, seguita dall’Ucraina. Questo elemento potrebbe aiutare a identificare l’hacker e la motivazione dietro l’attacco. Questo ransomware imita il malware originale di Petya, ma somiglia molto di più alla successiva versione NotPetya; il ransomware si muove lateralmente per poi diffondersi all’interno dell’azienda colpita. Anche se fonti generiche parlano di utilizzo dell’exploit Eternal Blue, non riusciamo ancora a trovare alcun riferimento a questo nel codice del ransomware. Pare che il ransomware sia stato inizialmente diffuso con la modalità drive-by-download tramite annunci pubblicitari in siti web popolari. Finora è stato identificato un solo sito, ma ce ne potrebbero essere altri che non sono stati ancora individuati; il ransomware integra uno strumento commerciale capace di crittografare i file di sistema.
