Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“Karmen”: scoperto un nuovo Ransomware-as-a-Service sconosciuto agli antivirus

bitcoin  Karmen  ransomware   mercoledì, 19 aprile 2017

Gli esperti di sicurezza della società Recorded Future hanno recentemente scoperto una nuova variante del ransomware Karmen offerta come RaaS nel Dark Web a soli 175$.

I primi casi di infezione di questo malware risalgono al dicembre del 2016, con vittime in Germania e negli Stati Uniti. Solo a partire da marzo di quest’anno Karmen ha iniziato ad essere attivamente pubblicizzato nei forum underground.

Stando a quanto riportato da Recorded Future, il codice di Karmen deriva dal progetto di ransomware open source Hidden Tear, disponibile liberamente su GitHub ed utilizzabile, stando al suo autore, solamente a scopo “didattico”. L’eseguibile è basato sul framework .NET, mentre l’infrastruttura di supporto richiede PHP 5.6 e MySQL.

Il sito Web dove è possibile acquistare Karmen consente di configurare diversi aspetti del malware, tra cui la somma in bitcoin da richiedere come riscatto. Il pannello di controllo è di facile utilizzo e la configurazione non richiede particolari conoscenze tecniche, risultando alla portata di “script kiddie” e aspiranti cybercriminali. Il sito consente di tracciare tutti i computer infettati dalla propria “creazione”, verificare quante delle vittime hanno affettivamente pagato per riottenere l’accesso ai propri file, visualizzare l’ammontare dei “guadagni” e controllare la presenza di aggiornamenti del malware.

Karmen agisce come la maggior parte dei malware di questo tipo: cifra i file sulla macchina infettata mediante l’algoritmo di cifratura AES-256, rendendoli di fatto inaccessibili all’utente e visualizza un avviso con le istruzioni per il pagamento della somma richiesta per ottenere la chiave di decifratura dall’attaccante (vedi immagine).

Avviso del ransomware Karmen

Fonte: Recorded Future

Karmen è inoltre in grado di cancellare il proprio modulo di decifratura nel caso in cui venga eseguito in una sandbox o venga rilevata la presenza di software di analisi sul computer della vittima.

Di seguito sono elencate le principali caratteristiche di Karmen, così come pubblicizzate dal suo autore:

  • Multi-thread
  • Multi-lingua
  • Supporta .NET 4.0 e versioni successive
  • Algoritmo di cifratura AES-256
  • Pannello di amministrazione adattabile
  • Cifra tutti i dischi e i file
  • Portafoglio BTC separato per ogni vittima
  • Dimensioni ridotte
  • Rimozione automatica del loader
  • Rimozione automatica del malware dopo il pagamento
  • Connessioni minime con il server di controllo
  • Pannello di controllo solido
  • Praticamente non individuabile
  • Decifratura dei file automatica dopo il pagamento
  • Compatibile con T2W (trojan-to-worm)
  • Non modifica le estensioni dei file
  • Rileva anti-debugger/tool di analisi/VM/sandbox
  • Rimozione automatica del modulo di decifratura se rilevata sandbox sul computer della vittima
  • Versione Light: solo offuscamento e autoloader
  • Versione Full: rilevamento software di analisi

Sulla base degli IoC pubblicati sul post originale di Recorded Future, al momento il ransomware Karmen non viene rilevato da nessuno dei più diffusi antivirus.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Il ransomware SOREBRECT non usa file e si inietta in un processo di sistema

19 giugno 2017

I ricercatori di sicurezza di Trend Micro hanno scoperto una nuova famiglia di ransomware, battezzata SOREBRECT, che infetta il PC della vittima senza usare file e utilizza tecniche di iniezione di codice.Leggi tutto

Il ransomware UIWIX si installa sfruttando l’exploit EternalBlue

18 maggio 2017

È stata scoperta una nuova variante di ransomware, denominata UIWIX, che viene diffusa sfruttando l'exploit EternalBlue, già utilizzato da WannaCry.Leggi tutto

Come funziona il ransomware WannaCry e cosa fare per proteggersi

15 maggio 2017

WannaCry, anche noto come WCry, WanaCrypt0r o Wana Decrypt0r 2.0, è una variante di ransomware che si è diffusa in maniera incontrollata in tutto il mondo a partire da venerdì 12 maggio.Leggi tutto