Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“Karmen”: scoperto un nuovo Ransomware-as-a-Service sconosciuto agli antivirus

bitcoin  Karmen  ransomware   mercoledì, 19 aprile 2017

Gli esperti di sicurezza della società Recorded Future hanno recentemente scoperto una nuova variante del ransomware Karmen offerta come RaaS nel Dark Web a soli 175$.

I primi casi di infezione di questo malware risalgono al dicembre del 2016, con vittime in Germania e negli Stati Uniti. Solo a partire da marzo di quest’anno Karmen ha iniziato ad essere attivamente pubblicizzato nei forum underground.

Stando a quanto riportato da Recorded Future, il codice di Karmen deriva dal progetto di ransomware open source Hidden Tear, disponibile liberamente su GitHub ed utilizzabile, stando al suo autore, solamente a scopo “didattico”. L’eseguibile è basato sul framework .NET, mentre l’infrastruttura di supporto richiede PHP 5.6 e MySQL.

Il sito Web dove è possibile acquistare Karmen consente di configurare diversi aspetti del malware, tra cui la somma in bitcoin da richiedere come riscatto. Il pannello di controllo è di facile utilizzo e la configurazione non richiede particolari conoscenze tecniche, risultando alla portata di “script kiddie” e aspiranti cybercriminali. Il sito consente di tracciare tutti i computer infettati dalla propria “creazione”, verificare quante delle vittime hanno affettivamente pagato per riottenere l’accesso ai propri file, visualizzare l’ammontare dei “guadagni” e controllare la presenza di aggiornamenti del malware.

Karmen agisce come la maggior parte dei malware di questo tipo: cifra i file sulla macchina infettata mediante l’algoritmo di cifratura AES-256, rendendoli di fatto inaccessibili all’utente e visualizza un avviso con le istruzioni per il pagamento della somma richiesta per ottenere la chiave di decifratura dall’attaccante (vedi immagine).

Avviso del ransomware Karmen

Fonte: Recorded Future

Karmen è inoltre in grado di cancellare il proprio modulo di decifratura nel caso in cui venga eseguito in una sandbox o venga rilevata la presenza di software di analisi sul computer della vittima.

Di seguito sono elencate le principali caratteristiche di Karmen, così come pubblicizzate dal suo autore:

  • Multi-thread
  • Multi-lingua
  • Supporta .NET 4.0 e versioni successive
  • Algoritmo di cifratura AES-256
  • Pannello di amministrazione adattabile
  • Cifra tutti i dischi e i file
  • Portafoglio BTC separato per ogni vittima
  • Dimensioni ridotte
  • Rimozione automatica del loader
  • Rimozione automatica del malware dopo il pagamento
  • Connessioni minime con il server di controllo
  • Pannello di controllo solido
  • Praticamente non individuabile
  • Decifratura dei file automatica dopo il pagamento
  • Compatibile con T2W (trojan-to-worm)
  • Non modifica le estensioni dei file
  • Rileva anti-debugger/tool di analisi/VM/sandbox
  • Rimozione automatica del modulo di decifratura se rilevata sandbox sul computer della vittima
  • Versione Light: solo offuscamento e autoloader
  • Versione Full: rilevamento software di analisi

Sulla base degli IoC pubblicati sul post originale di Recorded Future, al momento il ransomware Karmen non viene rilevato da nessuno dei più diffusi antivirus.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

SpriteCoin: il ransomware travestito da criptovaluta

26 gennaio 2018

Gli esperti di Fortinet hanno individuato un nuovo esemplare di ransomware che si spaccia per portafoglio di una fantomatica criptovaluta chiamata SpriteCoin.Leggi tutto

DeusCrypt e Insane: due varianti del ransomware open-source desuCrypt scoperte in-the-wild

23 gennaio 2018

Sono state individuate in-the-wild due varianti di ransomware, DeusCrypt e Insane, che utilizzano come codice di base il progetto open source desuCrypt.Leggi tutto

Il ransomware Scarab diffuso mediante la botnet Necurs

27 novembre 2017

È stata osservata una nuova massiccia campagna di Email di spam lanciata dalla botnet Necurs, che distribuisce il ransomware Scarab.Leggi tutto