Si chiama così, Coniglio Cattivo, ed è il ransomware che ha già messo in crisi Russia, Ucraina, Polonia, Turchia e Germania.

La metropolitana di Kiev è stata la prima a cadere sotto i colpi della minaccia informatica, che poi si è propagata nei sistemi dell’aeroporto di Odessa e verso organi di stampa dell’est Europa, come l’agenzia Interfax.

Siamo solo all’inizio e non è detto che Bad Rabbit non arrivi anche da noi, magari in qualche università e azienda, come è stato per Wannacry e NotPetya/Nyetya. Anzi, proprio in Italia secondo la compagnia di sicurezza Eset, le infezioni via ransomware sono aumentate del 12%, con segnalazioni (quindi non sempre verificate) più alte dell’87% rispetto a un anno fa.

Di cosa si tratta

Bad Rabbit è un malware della famiglia dei ransomware. Queste infezioni bloccano totalmente il computer, mostrando solo una schermata dove ci sono le indicazioni per sbloccare il sistema, tipicamente con una chiave di accesso univoca. Il riscatto consiste in una somma in bitcoin pari a 235 euro (ma si arriva anche a 300) da versare su conti online criptati, quindi difficilmente tracciabili e riconducibili a persone fisiche.

Sulla scia di NotPetya

Stando agli esperti, la campagna su cui si basa il coniglio è molto simile a quella che qualche mese fa ha colpito il nostro continente (e non solo) attraverso NotPetya. Le modalità sono simili ma non il codice usato dai cracker (cioè gli hacker cattivi che lavorano solo per ottenere un guadagno economico) che non sembra essere legato alla vulnerabilità EternalBlue (in gergo exploit) sfruttata anche da WannaCry.

Avira: benvenuto malvertising

Più che altro, qui entra in gioco un’operazione subdola di convincimento all’installazione della minaccia, tramite file fasulli e compromessi. Secondo Alexander Vukcevic, Head of Avira Protection Services, società di sicurezza informatica: “Sembra che in questo caso gli aggressori abbiano puntato quasi esclusivamente sulla diffusione di banner infetti, che spingono al download di un file. Chiamiamo queste operazioni con il nome di malvertising (malware + advertising, pubblicità) che ingannano le persone nascondendo i virus in un pacchetto apparentemente genuino”.

Cosa fare per difendersi

Il ransomware si può propagare in diversi modi, sempre più eterogenei. Si va dal solito allegato Office via email (che sia un Word o un PDF) all’aggiornamento fake di Adobe Flash Player, divulgato come un banner all’interno di siti già colpiti. Le regole sono poche ma spesso utili: non scaricare o aggiornare i software direttamente da portali web ma farlo attraverso le funzionalità di update dei singoli programmi. Lo stesso vale per le app sullo smartphone: mai fuori dal Play Store o App Store.

Soluzione preventiva

Nelle ultime ore su internet si è diffusa una soluzione che potrebbe prevenire l’infezione da Bad Rabbit su sistema operativo Windows. Basterebbe creare nella cartella C:\Windows due file, uno chiamato infpub.dat e un altro cscc.dat, partendo semplicemente da un semplice txt e poi cambiando l’estensione in .dat. In questo modo si impedirebbe al ransomware di originare da sé entrambi i file, quelli che bloccano il computer.

Per saperne di più

• Come eliminare WannaCry ransomware dal PC
• I 5 peggiori virus informatici in Italia: come eliminarli
• WannaCry: i consigli di Microsoft per difendersi