Questo martedì una nuova ondata di ransomware ha colpito diversi bersagli in Russia e nell’Europa dell’Est, secondo alcuni giornali e diverse aziende di sicurezza informatica.

Secondo l’azienda di sicurezza russa Group-IB, il malware, soprannominato Bad Rabbit, ha colpito tre media outlet russi, inclusa l’agenzia stampa Interfax. Una volta che infetta un computer, Bad Rabbit mostra un messaggio in rosso su sfondo nero, un tipo di estetica già sfruttata nella gigantesca infezione di NotPetya.

Il messaggio di riscatto chiede alle vittime di loggare all’interno di un sito Tor per effettuare un pagamento di 0.05 Bitcoin, che al momento valgono circa 282 dollari. Il sito mostra inoltre un countdown di circa 40 ore, allo scadere delle quali il prezzo del riscatto si alzerà.

Uno screenshot del sito onion di Bad Rabbit. Immagine: Motherboard

A questo punto, non è ancora chiaro chi ci sia dietro questo attacco, chi siano le vittime, come il malware si stia diffondendo e da dove abbia avuto tutto inizio. Interfax ha spiegato su Twitter che ha causa del cyber-attacco i suoi server sono in down time. Anche l’aeroporto di Odessa, in Ucraina, è stato colpito da un cyber-attacco piuttosto violento questo martedì, ma non è ancora chiaro se si tratti di Bad Rabbit.

L’agenzia di emergenza informatica ucraina CERT-UA ha pubblicato un’allerta martedì mattina in cui avvisava di una nuova ondata di cyber-attacchi, senza citare chiaramente Bad Rabbit.

Un portavoce di Group-IB ha spiegato che un “nuovo enorme cyber-attacco” targato Bad Rabbit ha preso di mira le media company russe Interfax e Fontanka, oltre che una serie di bersagli in Ucraina come l’aeroporto di Odessa, la metropolitana di Kiev e il Ministro dell Infrastrutture ucraino.

Kaspersky Lab, un’agenzia di sicurezza con base a Mosca, ha spiega che la “maggior parte” delle infezioni di Bad Rabbit sono in Russia. Alcune sono Ucraina, Turchia e Germania. L’azienda ha definito Bad Rabbit “un attacco mirato contro le reti corporate.”

“Secondi i nostri dati, la maggior parte delle vittime prese di mira da questi attacchi sono localizzate in Russia. Abbiamo anche visto attacchi simili, ma in minore quantità, in Ucraina, Turchia e Germania. Questo ransomware infetta i dispositivi attraverso una serie di siti media russi hackerati,” ha spiegato in una dichiarazione il capo del gruppo di ricerca anti-malware di Kaspersky Lab Vyacheslav Zakorzhevsky. “Sulla base delle nostre indagini, si è trattato di un attacco mirato contro le reti corporate che ha sfruttato tecniche e metodi simili a quelli usato durante l’attacco ExPetr[NotPetya]. Ciononostante, non possiamo confermare alcuna relazione con [NotPetya].”

ESET, un’altra azienda di sicurezza con base in Repubblica Ceca, ha confermatoes che c’è una campagna ransomware in corso. L’azienda ha spiegato in un post sul suo blog che almeno nel caso della metro di Kiev, il malware è una “nuova variante del ransomware conosciuto come Petya.” NotPetya stesso era una variante di Petya. ESET ha affermato di aver rilevato “centinaia” di infezioni.

Un ricercatore di ProofPoint ha spiegato che Bad Rabbit si è diffuso attraverso un falso installer di Adobe Flash Player. I ricercatori di Kaspersky Lab hanno confermato questa teoria e hanno aggiunto che il dropper del malware — il file che lancia il malware — è stato distribuito attraverso dei siti legittimi hackerati, “tutti facenti parti della categoria news o media.”

Il falso update Flash non è l’unico modo attraverso cui Bad Rabbit si diffonde, secondo ESET. Il ransomware prova anche a infettare i computer nello stesso network locale del primo computer infetto attraverso il protocollo di condivisione dati Windows SMB per poi sfruttare il tool di post-exploitation open-source Mimikatz.

Inizialmente, pochissimi antivirus rilevavano Bad Rabbit come file malevelolo, secondo l’archivio malware VirusTotal. Un ricercatore in ambito security ha anche caricato un campione del malware su Hybrid Analysis, un’alternativa gratuita a VirusTotal.

Un ricercatore di McAfee ha spiegato che Bad Rabbit cripta diversi tipi di file, inclusi i .doc, i .docx, i .jpg e altri file comuni. Secondi diversi altri ricercatori, Bad Rabbit contiene dei riferimentia Game of Thrones, in particolare ai nomi dei tre draghi, Drogon, Rhaegal e Viserion.

Gli hacker hanno anche incluso un riferimento al film del 1995 Hackers nel codice. Come parte della lista di credenziali di default che il malware sfrutta per colpire i computer, ci sono anche queste password: love, secret, sex, god, le quattro password più comuni secondo il film.

