Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“Karmen”: scoperto un nuovo Ransomware-as-a-Service sconosciuto agli antivirus

bitcoin  Karmen  ransomware   mercoledì, 19 aprile 2017

Gli esperti di sicurezza della società Recorded Future hanno recentemente scoperto una nuova variante del ransomware Karmen offerta come RaaS nel Dark Web a soli 175$.

I primi casi di infezione di questo malware risalgono al dicembre del 2016, con vittime in Germania e negli Stati Uniti. Solo a partire da marzo di quest’anno Karmen ha iniziato ad essere attivamente pubblicizzato nei forum underground.

Stando a quanto riportato da Recorded Future, il codice di Karmen deriva dal progetto di ransomware open source Hidden Tear, disponibile liberamente su GitHub ed utilizzabile, stando al suo autore, solamente a scopo “didattico”. L’eseguibile è basato sul framework .NET, mentre l’infrastruttura di supporto richiede PHP 5.6 e MySQL.

Il sito Web dove è possibile acquistare Karmen consente di configurare diversi aspetti del malware, tra cui la somma in bitcoin da richiedere come riscatto. Il pannello di controllo è di facile utilizzo e la configurazione non richiede particolari conoscenze tecniche, risultando alla portata di “script kiddie” e aspiranti cybercriminali. Il sito consente di tracciare tutti i computer infettati dalla propria “creazione”, verificare quante delle vittime hanno affettivamente pagato per riottenere l’accesso ai propri file, visualizzare l’ammontare dei “guadagni” e controllare la presenza di aggiornamenti del malware.

Karmen agisce come la maggior parte dei malware di questo tipo: cifra i file sulla macchina infettata mediante l’algoritmo di cifratura AES-256, rendendoli di fatto inaccessibili all’utente e visualizza un avviso con le istruzioni per il pagamento della somma richiesta per ottenere la chiave di decifratura dall’attaccante (vedi immagine).

Avviso del ransomware Karmen

Fonte: Recorded Future

Karmen è inoltre in grado di cancellare il proprio modulo di decifratura nel caso in cui venga eseguito in una sandbox o venga rilevata la presenza di software di analisi sul computer della vittima.

Di seguito sono elencate le principali caratteristiche di Karmen, così come pubblicizzate dal suo autore:

  • Multi-thread
  • Multi-lingua
  • Supporta .NET 4.0 e versioni successive
  • Algoritmo di cifratura AES-256
  • Pannello di amministrazione adattabile
  • Cifra tutti i dischi e i file
  • Portafoglio BTC separato per ogni vittima
  • Dimensioni ridotte
  • Rimozione automatica del loader
  • Rimozione automatica del malware dopo il pagamento
  • Connessioni minime con il server di controllo
  • Pannello di controllo solido
  • Praticamente non individuabile
  • Decifratura dei file automatica dopo il pagamento
  • Compatibile con T2W (trojan-to-worm)
  • Non modifica le estensioni dei file
  • Rileva anti-debugger/tool di analisi/VM/sandbox
  • Rimozione automatica del modulo di decifratura se rilevata sandbox sul computer della vittima
  • Versione Light: solo offuscamento e autoloader
  • Versione Full: rilevamento software di analisi

Sulla base degli IoC pubblicati sul post originale di Recorded Future, al momento il ransomware Karmen non viene rilevato da nessuno dei più diffusi antivirus.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

DoubleLocker: nuovo ransomware per Android cifra i dati e blocca il dispositivo

16 ottobre 2017

I ricercatori di ESET hanno individuato DoubleLocker, un nuovo esemplare di ransomware per Android che cifra i file e modifica il PIN di sblocco del dispositivo. Leggi tutto

Il ransomware SynAck colpisce aziende anche in Europa

8 settembre 2017

Esperti di sicurezza hanno rilevato un notevole incremento nelle attività di una nuova variante di ransomware denominata SynAck.Leggi tutto

Il ransomware SyncCrypt si nasconde in immagini JPEG

23 agosto 2017

È stato scoperto un nuovo ransomware chiamato SyncCrypt che viene distribuito come file WSF che scarica immagini JPEG contenenti il malware in formato ZIP.Leggi tutto