On October 24th we observed notifications of mass attacks with ransomware called Bad Rabbit. It has been targeting organizations and consumers, mostly in Russia but there have also been reports of victims in Ukraine.
L’attacco è stato massivo e si è basato sull’indirizzamento ad un link per il download di un fantomatico “Flash Player Installer” a partire da siti web normali. Tale installer richiede poi i diritti di amministrazione estesa della macchina per poter effettuare tutte le operazioni del caso, tra le quali utilizzare le ddl di cifratura del sistema a cui però vengono passate credenziali cifrate. Questi diritti di amministrazione vengono garantiti dall’utente che accetta l’installazione all’apparizione della finestrella di richiesta.
Il target principale pare siano soprattutto organizzazioni e utenti in Russia e Ukraina ed il sistema operativo è Windows.
L’antivirus Kasperky, se correttamente aggiornato e configurato, rileva il ransomware e permette il suo blocco prima dell’infezione.
Sorgente: Bad Rabbit ransomware – Securelist