Due diverse società di ricerca sulla sicurezza hanno scoperto importanti informazioni sugli attacchi di ransomware denominato Bad Rabbit, inclusi i motivi e un modo possibile per recuperare i dati senza pagare.

Con l’ambiente mutevole che circonda le minacce informatiche, vale la pena di rivedere se le politiche, le metodologie e le tecnologie utilizzate proteggano i dati, indipendentemente da dove si trovino.

Un team di investigazione delle minacce FireEye ha trovato una connessione tra il ransomware Bad Rabbit e il “Backswing”, che FireEye ha descritto come un “profilo JavaScript dannoso“. Secondo i ricercatori, Backswing è stato usato liberamente dal settembre 2016 e, recentemente, alcuni siti che ospitano il framework stanno reindirizzandosi agli URL di distribuzione di Bad Rabbit.

“I profili dannosi permettono ai pirati di ottenere ulteriori informazioni su potenziali vittime prima di distribuire carichi utili (in questo caso, l’aggiornamento flash Bad Rabbit)“, hanno scritto i ricercatori di FireEye. “La distribuzione dei siti impegnati nel Backswing suggerisce che la motivazione non è il profitto economico. Abbiamo osservato un picco di casi di backswing su siti ucraini, con un incremento significativo nel maggio 2017. Mentre alcuni siti che ospitano Backswing non hanno un chiaro collegamento strategico, il modello di attuazione suscita la possibilità di uno sponsor strategico con specifici interessi regionali“.

I ricercatori hanno aggiunto che l’utilizzo di Backswing per raccogliere informazioni sugli obiettivi e sul crescente numero di siti maligni che contengono il framework potrebbe indicare “una notevole impronta per cui gli hacker potranno approfittare di futuri attacchi“.

Nel frattempo, i ricercatori di Kaspersky Lab hanno scoperto difetti nel ransomware Bad Rabbit che potrebbero dare alle “vittime” l’opportunità di recuperare i dati crittografati senza pagare il riscatto. Il team Kaspersky ha scritto in un post sul blog che i primi rapporti sostenevano che il ransomware Bad Rabbit che filtrava la chiave di cifratura erano falsi, ma il team ha trovato un errore nel codice per cui il malware non elimina la password generata in memoria, lasciando una possibilità di estrarla prima della fine del processo.

Tuttavia, i ricercatori hanno anche dettagliato un modo più semplice per recuperare i file. “Abbiamo scoperto che Bad Rabbit non elimina le istantanee dopo la crittografia dei file della vittima“, hanno scritto i ricercatori di Kaspersky. “Significa che se le istantanee sono state abilitate prima dell’infezione e se la crittografia completa del disco non si è verificata per qualche ragione, allora la vittima sarà in grado di ripristinare le versioni originali dei dati criptati usando il meccanismo standard di Windows o le utilità di file“.