Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Aggiornamenti sul ransomware (10 giugno 2016)

BlackShades Crypter  CryptXXX  ransomware  SNSLocker   venerdì, 10 giugno 2016

In questo articolo vengono riassunte brevemente le notizie di maggior rilievo riguardanti i malware appartenenti alla categoria del ransomware pubblicate nella prima settimana di giugno del 2016 da siti specializzati in sicurezza informatica e altre fonti attendibili selezionate.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Nota: l’efficacia dei tool per il recupero dei file descritti in questo articolo non è stata verificata dal CERT Nazionale e non vi è alcuna garanzia che possano funzionare in tutti i casi.

Indice delle notizie

CryptXXX giunge alla versione 3.1

Gli esperti di sicurezza di Proofpoint hanno osservato in-the-wild una nuova versione di CryptXXX (la 3.100) che introduce funzionalità aggiuntive, tra cui la cifratura delle condivisioni di rete.

Questa nuova versione di CryptXXX è in grado di effettuare una scansione della rete utilizzando il protocollo SMB sulla porta 445, trovare le risorse condivise, enumerare i file in ogni directory condivisa e cifrarli uno per uno. CryptXXX 3.1 rinomina i file cifrati aggiungendo al nome del file l’estensione “.cryp1” e memorizza in ogni directory la nota di riscatto.

Al fine di monetizzare ulteriormente le infezioni, CryptXXX 3.1 scarica una DLL, denominata StillerX, che agisce come un modulo per il furto di credenziali. StillerX, che può anche essere utilizzato come applicazione standalone, mira ad ottenere le credenziali di una vasta gamma di applicazioni, tra cui:

  • browser Web (credenziali memorizzate, cronologia e cookie)
  • dialer
  • download manager
  • Email
  • FTP
  • app di messaggistica
  • app per il poker online
  • Proxy
  • software per amministrazione remota
  • VPN
  • password nella cache di WNetEnum
  • dati di Microsoft Credential Manager

Con questa nuova versione, anche la schermata di blocco (vedi Figura 1) e il portale per il pagamento del riscatto hanno subito un aggiornamento di tipo prevalentemente “estetico”.

Schermata di blocco di CryptXXX 3.1

Figura 1 – La schermata di blocco di CryptXXX 3.1 (Fonte: Proofpoint)

CryptXXX 3.1 viene distribuito prevalentemente attraverso l’exploit kit Neutrino EK. Al momento, il tool di decifratura sviluppato da Kaspersky Lab (RannohDecryptor) non è in grado di recuperare i file compromessi da questo ransomware.

Fonte: Proofpoint

SNSLocker nasconde le proprie credenziali nel codice

SNSLocker è un nuovo esemplare di ransomware scoperto e analizzato da Trend Micro che mostra come la crescita rapida nella diffusione di questa tipologia di malware sia legata anche alla facilità con cui può essere predisposta l’intera infrastruttura necessaria alla diffusione massiccia delle infezioni e alla raccolta del denaro, che può richiedere un investimento economico iniziale quasi pari a zero.

In questo caso, l’autore del malware non sembra neppure essersi preoccupato molto né di personalizzare la propria campagna, che utilizza server in hosting gratuito e sistemi di pagamento già comunemente disponibili, né di nascondere le proprie tracce nella rete. Infatti, diversi ricercatori di sicurezza hanno trovato l’indirizzo e le credenziali in chiaro per l’accesso al server C&C inserite direttamente nel codice del malware, scritto in puro .NET Framework 2.0.

Per il resto, SNSLocker possiede le stesse caratteristiche che si ritrovano nella maggior parte delle famiglie di crypto-ransomware, come il conto alla rovescia per il pagamento del riscatto, la schermata di blocco (vedi Figura 2), la funzionalità di cifratura dei file, il link al sito per il pagamento del riscatto (che in questo caso è pari a 300$).

Schermata di blocco di SNSLocker

Figura 2 – La schermata di blocco di SNSLocker (Fonte: Trend Micro)

Fonte: Trend Micro

BlackShades Crypter lancia la sfida ai ricercatori di sicurezza

BlackShades Crypter è un nuovo esemplare di ransomware scoperto da un ricercatore di sicurezza indipendente che cifra i dati e richiede un riscatto piuttosto basso per questo tipo di estorsioni: 30$ pagabili in bitcoin o tramite PayPal. Questo ransomware si rivolge ad utenti sia di lingua inglese, sia di lingua russa.

Cosa piuttosto insolita, l’analisi di questo malware ha rivelato alcune stringhe, offuscate all’interno del file eseguibile, che contengono messaggi in Russo e in Inglese volti a farsi beffe dei ricercatori di sicurezza. I messaggi contengono frasi di sfida del tipo “YoxcnnotcrackthisAlgorithmynare>idiot<“, “you can not hack me, I am very hard” e “youaresofartocrackMe”.

BlackShades Crypter cifra utilizzando la crittografia AES-256 i file presenti nelle seguenti cartelle sul disco C:

  • C:\Utenti\[Nome Utente]\Download
  • C:\Utenti\[Nome Utente]\Documenti
  • C:\Utenti\[Nome Utente]\Desktop
  • C:\Utenti\[Nome Utente]\Immagini
  • C:\Utenti\[Nome Utente]\Musica
  • C:\Utenti\[Nome Utente]\Video
  • C:\Utenti\Pubblica

Sugli altri dischi vengono cifrati i file in tutte le cartelle. Ai file cifrati viene aggiunta l’estensione “.silent”.

Questo ransomware memorizza in ogni cartella un file denominato “YourID.txt”, che contiene l’ID univoco della vittima. Nel desktop viene memorizzato anche un file dal nome in Russo “Ваш идентификатор” (Il tuo ID) che contiene anch’esso l’ID della vittima.

Alla fine del processo di cifratura, BlackShades Crypter crea il file “Hacked_Read_me_to_decrypt_files.Html” contenente  la nota di riscatto (vedi Figura 3) sia sul desktop di Windows, sia nella cartella di avvio della vittima, dopodiché tenta di cancellare se stesso.

Schermata di blocco di BlackShades Crypter

Figura 3 – La schermata di blocco di BlackShades Crypter (Fonte: Bleeping Computer)

Al momento il metodo di diffusione di questo ransomware non è noto e non c’è modo di decifrare gratuitamente i file presi in ostaggio.

Fonte: Bleeping Computer

Notizie correlate

“Anatova”: nuova minaccia ransomware colpisce anche in Italia

28 gennaio 2019

I ricercatori di sicurezza di McAfee hanno individuato la nuova famiglia di ransomware Anatova, ritenuta una seria minaccia per il prossimo futuro.Leggi tutto

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto