La risposta è si naturalmente, in termini assoluti: è cattivo! BadRabbit è un nuovo ransomware che vede tra le sue caratteristiche peculiari una eccellente capacità di non farsi rilevare, la facoltà di propagarsi autonomamente una volta in rete e il devastante effetto tipico dei ransomware.
BadRabbit
Ma non sono qui per raccontarvi i dettagli tecnici, se volete, alcuni interessanti approfondimenti sul caso li potete trovare qui:
- https://www.anomali.com/blog/bad-rabbit-ransomware-outbreak-in-russia-and-ukraine
- https://www.endgame.com/blog/technical-blog/badrabbit-technical-analysis
- https://otx.alienvault.com/browse/pulses/?q=bad%20rabbit&sort=-created
Vorrei invece condividere alcune riflessioni, che spesso mi vengono in situazioni come questa:
- Sono giustificati questo panico e questa terrificante campagna “informativa” che da qualche giorno imperversano su Social Network, Riviste e Zine di settore?
- Qual è l’uso corretto e utile che devo fare di queste informazioni?
Veniamo alla prima domanda e alla risposta che mi sono dato come parere personale e quindi confutabile:
Fare terrorismo è opportunistico, fare informazione è utile. Mi spiego meglio partendo da un dato tecnico: come si fa ad essere infettati da BadRabbit?
Navigando in siti compromessi. Il fatto è che questi siti, sono tutti Russi o Ucraini, qualcuno Giapponese, inoltre si tratta per lo più di siti di news, media e informazione.
https://otx.alienvault.com/pulse/59efc81b7b645910a92518a9/
Quanti di noi accedono a siti di questo tipo in lingua Russa o Giapponese? Qualcuno ci sarà certo ma proclamare l’emergenza generale, il Defcon-1 o il rischio pandemia, mi pare piuttosto eccessivo.
Tanto che al momento, le aziende che risultano essere state colpite (circa 250, mica poche) sono tutte nell’area russa ed est europea.
Questo perenne stato di allarme generale, rischia di ottenere l’effetto assuefazione in chi legge o in chi cerca di farsi un’idea di quali siano i rischi reali legati alla Cybersecurity.
Ricordate la storiella del bambino che gridava al lupo al lupo?
Si rischia di creare disorientamento, senso di impotenza e di conseguenza rassegnazione, ma noi non vogliamo che aziende o privati si rassegnino, ne va, in ultima istanza, della produttività del nostro Paese. È un po’ come se ogni volta che scoppia un’epidemia in un Paese del Mondo, passasse il messaggio che anche noi necessariamente ne saremmo coinvolti. Certo metodi e velocità di “contagio” sono molto diversi tra virus vivi e virus elettronici, ma il concetto con le dovute proporzioni è similare; non il concetto di virus ma il concetto di informazione.
Veniamo alla seconda risposta (sempre personale e confutabile).
Come posso usare al meglio l’informazione senza causare l’effetto opposto? Non creare quindi disorientamento ma orientamento?
Sapendo che nell’est europeo si sta sviluppando un fenomeno che potenzialmente può avere effetti devastanti, dovrei anche sapere (ma non è così perché la strategia del terrore non me lo permette) che il rischio reale per noi non-est-europei esiste, ma è ancora contenuto.
Dovrei inoltre sapere (ma così non è perché sono disorientato o forse già rassegnato) che non è del BadRabbit di turno che mi devo preoccupare, non è tanto meno per Petya o per WannaCry che devo evitare di esporre la porta 445 su Internet.
“Quando il saggio indica la Luna, lo stolto guarda il dito”
Tutti questi casi sono molte dita che indicano la stessa Luna: il problema della CyberSecurity è presente, costante e crescente ed è importante affrontarlo in modo pragmatico, senza panico ma con serietà, perché il prossimo Bad-Animal potrebbe avere il suo focolaio in Italia, in Francia, o in qualunque parte del non-est-europeo, allora si sarà il caso di gridare “al lupo al lupo!”.
Cosa significa affrontare il problema “senza panico ma con serietà”?
Significa: capire il fenomeno della Cybersecurity nel suo complesso (non solo BadRabbit). Penso in particolare agli executive di un’azienda, i quali sicuramente sanno valutare l’impatto sul business di un “fermo macchina” o l’effetto reputazionale che un determinato evento può avere, ma raramente hanno visione di come evolve il fenomeno della Cybersecurity e le conseguenze che questo può avere sul business. Ormai dovrebbe essere chiaro che il danno che un ransomware produce è solo in minima parte quello causato dal pagamento del riscatto, molto più sostanziali sono gli effetti derivanti dalla perdita di dati, dall’inoperatività aziendale, dal danno d’immagine o dal tempo di ripristino dei sistemi compromessi.
Significa: essere consapevoli dell’efficacia o meno della propria architettura di sicurezza. Avere speso decine di migliaia di euro in strumenti e servizi per la sicurezza dell’azienda, non è di per sé un’assicurazione che questi funzionino come dovrebbero, quando dovrebbero.
Mi piace in questi casi usare il paragone con le case automobilistiche, le quali per provare la “sicurezza” delle proprie vetture fanno un test molto semplice: le schiantano addosso ad un muro! Per loro si chiama Crash Test, per noi del settore è Pen Test o meglio ancora Red Team, ma l’idea è esattamente la stessa.
Significa: creare consapevolezza del problema a tutti il livelli aziendali.
Volete sapere come bloccherei BadRabbit nella mia azienda?
Direi a tutti, poi lo ripeterei, me lo farei ripertere per essere sicuro che abbiamo capito, questo concetto:
“Se navigando in un sito vi viene richiesto di aggiornare Flash Player: NON FATELO! In caso di dubbi chiamate l’Helpdesk!”
Sembra quasi banale (e un po’ lo è nel mio esempio), ma il messaggio è semplice: se si conosce il problema e lo si sa riconoscere allora si riesce anche ad evitarlo.
Concludo dicendo:
“Non guardate solo il dito, guardate la Luna… ma guardate anche il coniglio”
BadRabbit esiste e non c’è alcun dubbio su questo; abbiamo al momento informazioni a sufficienza per rilevarlo, ci sono moltissimi IoC che si possono usare, alcuni sistemi antimalware di nuova generazione sono già in grado di bloccarlo. Sappiamo inoltre come si presenta e possiamo fare formazione alle persone. Magari tutte queste precauzioni non ci serviranno ora, o magari sì, ma se facciamo le cose per bene, potremmo affrontare con maggiore tranquillità tutti i Bad-Animals che il futuro metterà sulla nostra strada.
Buon lavoro.
Contattaci qui