Il 24 ottobre una minaccia informatica ha colpito la Russia e l'Ucraina, bloccando i sistemi di organi di stampa, istituzioni e società dei trasporti. L'aeroporto di Odessa, Ucraina, ha subito diversi disservizi, mentre il sistema della metropolitana di Kiev, capitale del Paese, è stato parzialmente paralizzato, con conseguente blocco anche del sistema che gestisce i pagamenti con carte di credito. Il software malevolo utilizzato si chiama BadRabbit, coniglio cattivo, e appartiene alla categoria dei ransomware: programmi informatici progettati per bloccare l'accesso ai dati contenuti nel computer fino al pagamento di un riscatto.
Anche le banche nel mirino
Ilya Sachkov, direttore della società di cybersecurity russa Group-Ib, ha reso noto che il malware ha preso di mira anche alcune delle 20 banche più importanti della Russia: “Group-Ib ha registrato tentativi di infettare le infrastrutture di diverse banche russe, che utilizzano il sistema di rilevamento delle intrusioni. I file infetti sono arrivati martedì tra le 13.00 alle 15.00 (ora di Mosca, Ndr), tentando di diffondere questo virus anche alle banche”. Sachkov ha comunque sottolineato che il malware non ha potuto infettare gli istituti di credito in quanto protetti meglio da attacchi informatici, rispetto ad aziende di altri settori.
La maggior parte delle vittime colpite da questi attacchi si trova in Russia, secondo quanto confermato da Vyacheslav Zakorzhevsky, capo dell’Anti-Malware Research Team di Kaspersky Lab: "Abbiamo inoltre visto simili attacchi in Ucraina, Turchia e Germania, sebbene in minor misura”. Secondo gli esperti del laboratorio Eset, si sono svolti finora un centinaio di attacchi, di cui la maggior parte ha interessato la Russia (65%) e l'Ucraina (12,2%), ma anche la Bulgaria (10,2%), la Turchia (6,4%), il Giappone (3,8%) e altri paesi (2.4%).
Leggi anche: Nell'anno di WannaCry un'epidemia di virus informatici
Un cracker che ama Game of Thrones
Nel progettare il suo crimine, il cracker - hacker malevolo - non si è fatto sfuggire l’occasione di lasciare dei ‘tocchi d’artista’. Nel codice del malware è possibile leggere i nomi di Verme Grigio e dei draghi Viserion, Rhaegal e Drogon, personaggi della serie televisiva Game of Thrones. Ma anche la pagina sulla quale bisogna accedere per pagare il riscatto e chiedere la chiave per sbloccare il contenuto dei pc è stata progettata con particolare cura: una colorata animazione compone la scritta con le istruzioni per le vittime di BadRabbit, mentre un orologio digitale segna il conto alla rovescia prima che il prezzo per le chiavi di sblocco aumenti. Il sito Internet fa parte della rete di Tor, darknet alla quale è possibile accedere solo con programmi dedicati e che garantisce l’anonimato sia dell’utente che del proprietario del sito.
Sotto attacco l'agenzia Interfax
Il malware BadRabbit potrebbe essere figlio di NotPetya, minaccia che a giugno del 2017 ha attaccato migliaia di aziende e organizzazioni in decine di Paesi. L'infezione è stata diffusa attraverso dei normali siti Internet, non collegati con gli hacker, tra i quali quello di Fontanka.ru, testata di primo piano a San Pietroburgo, argumenti.ru, e argumenti.com. Sotto attacco anche l’agenzia di stampa Interfax, che non ha ancora ripristinato il servizio. Una falsa richiesta di aggiornamento di Flash Player, software per la riproduzione di contenuti multimediali, installava un file dal nome install_flash_player.exe, che in realtà era il malware. Il riscatto richiesto è di 0,05 bitcoin (235,97 dollari).
Zakorzhevsky ha spiegato che “questo ransomware infetta i dispositivi attraverso diversi siti di news russi hackerati. Secondo i nostri dati, si tratta di un attacco mirato contro network aziendali, che usa metodi simili a quelli sfruttati durante l’attacco ExPetr". I principali produttori di anti-malware fanno sapere di aver già aggiornato i loro sistemi in modo da prevenire la diffusione ulteriore della minaccia.