Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“Karmen”: scoperto un nuovo Ransomware-as-a-Service sconosciuto agli antivirus

bitcoin  Karmen  ransomware   mercoledì, 19 aprile 2017

Gli esperti di sicurezza della società Recorded Future hanno recentemente scoperto una nuova variante del ransomware Karmen offerta come RaaS nel Dark Web a soli 175$.

I primi casi di infezione di questo malware risalgono al dicembre del 2016, con vittime in Germania e negli Stati Uniti. Solo a partire da marzo di quest’anno Karmen ha iniziato ad essere attivamente pubblicizzato nei forum underground.

Stando a quanto riportato da Recorded Future, il codice di Karmen deriva dal progetto di ransomware open source Hidden Tear, disponibile liberamente su GitHub ed utilizzabile, stando al suo autore, solamente a scopo “didattico”. L’eseguibile è basato sul framework .NET, mentre l’infrastruttura di supporto richiede PHP 5.6 e MySQL.

Il sito Web dove è possibile acquistare Karmen consente di configurare diversi aspetti del malware, tra cui la somma in bitcoin da richiedere come riscatto. Il pannello di controllo è di facile utilizzo e la configurazione non richiede particolari conoscenze tecniche, risultando alla portata di “script kiddie” e aspiranti cybercriminali. Il sito consente di tracciare tutti i computer infettati dalla propria “creazione”, verificare quante delle vittime hanno affettivamente pagato per riottenere l’accesso ai propri file, visualizzare l’ammontare dei “guadagni” e controllare la presenza di aggiornamenti del malware.

Karmen agisce come la maggior parte dei malware di questo tipo: cifra i file sulla macchina infettata mediante l’algoritmo di cifratura AES-256, rendendoli di fatto inaccessibili all’utente e visualizza un avviso con le istruzioni per il pagamento della somma richiesta per ottenere la chiave di decifratura dall’attaccante (vedi immagine).

Avviso del ransomware Karmen

Fonte: Recorded Future

Karmen è inoltre in grado di cancellare il proprio modulo di decifratura nel caso in cui venga eseguito in una sandbox o venga rilevata la presenza di software di analisi sul computer della vittima.

Di seguito sono elencate le principali caratteristiche di Karmen, così come pubblicizzate dal suo autore:

  • Multi-thread
  • Multi-lingua
  • Supporta .NET 4.0 e versioni successive
  • Algoritmo di cifratura AES-256
  • Pannello di amministrazione adattabile
  • Cifra tutti i dischi e i file
  • Portafoglio BTC separato per ogni vittima
  • Dimensioni ridotte
  • Rimozione automatica del loader
  • Rimozione automatica del malware dopo il pagamento
  • Connessioni minime con il server di controllo
  • Pannello di controllo solido
  • Praticamente non individuabile
  • Decifratura dei file automatica dopo il pagamento
  • Compatibile con T2W (trojan-to-worm)
  • Non modifica le estensioni dei file
  • Rileva anti-debugger/tool di analisi/VM/sandbox
  • Rimozione automatica del modulo di decifratura se rilevata sandbox sul computer della vittima
  • Versione Light: solo offuscamento e autoloader
  • Versione Full: rilevamento software di analisi

Sulla base degli IoC pubblicati sul post originale di Recorded Future, al momento il ransomware Karmen non viene rilevato da nessuno dei più diffusi antivirus.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Nuove campagne di diffusione dei malware NemucodAES e Kovter

17 luglio 2017

Sono state individuate nelle scorse settimane nuove campagne di Email di spam che distribuiscono il ransomware NemucodAES e il trojan Kovter.Leggi tutto

Il ransomware LeakerLocker scoperto in due app su Google Play

10 luglio 2017

I ricercatori di sicurezza di McAfee hanno scoperto un nuovo tipo di ransomware, battezzato LeakerLocker, che colpisce i dispositivi mobili equipaggiati con il sistema operativo Android.Leggi tutto

Scoperta soluzione per immunizzare il PC dalla nuova variante di Petya

28 giugno 2017

Un ricercatore indipendente ha scoperto un metodo per impedire che un computer Windows venga infettato dalla nuova variante del ransomware Petya, nota anche come PetrWrap o (not)Petya.Leggi tutto