Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware UIWIX si installa sfruttando l’exploit EternalBlue

EternalBlue  ransomware  UIWIX  WannaCry   giovedì, 18 maggio 2017

Alcuni ricercatori di sicurezza hanno scoperto una nuova variante di ransomware, denominata UIWIX, che viene diffusa sfruttando l’exploit EternalBlue, già utilizzato nelle campagne di infezione di WannaCry e Adylkuzz.

L’exploit EternalBlue è stato rilasciato pubblicamente il 14 aprile scorso dal gruppo hacker Shadow Brokers e sfrutta una vulnerabilità critica del protocollo SMBv1 implementato nei sistemi Windows (CVE-2017-0145). La vulnerabilità è stata risolta da Microsoft il 14 marzo con il bollettino di sicurezza MS17-010, ma si ritiene che molti sistemi esposti su Internet non siano ancora stati aggiornati.

Al di là dell’uso dello stesso exploit come vettore iniziale dell’infezione, UIWIX presenta notevoli differenze rispetto a WannaCry. Innanzitutto questo malware non ha la capacità di diffondersi automaticamente in rete a partire da una macchina infetta. Gli esperti ritengono che gli autori di UIWIX sfruttino EternalBlue per iniettare il malware direttamente nei computer vittima effettuando le scansioni di rete a partire da server sotto il loro controllo. Inoltre, apparentemente questo malware non memorizza file sulla macchina ma viene eseguito direttamente in memoria.

Per quanto riguarda la funzionalità di cifratura dei file, UIWIX si comporta in maniera del tutto analoga ad altri malware di questo tipo. Una volta infettata una macchina, questo ransomware crea un identificativo univoco della vittima in forma di stringa di 10 cifre casuali. UIWIX aggiunge questo codice al nome dei file cifrati, seguito dall’estensione “.UIWIX”, secondo il formato seguente: “nome-file.estensione-originale._[codice univoco].UIWIX”.

Questo ransomware crea sul sistema il file “_DECODE_FILES.txt” contenente il testo seguente (indirizzi offuscati):

>>> ALL YOUR PERSONAL FILES ARE DECODED <<<

Your personal code: XXXXXXXXXX

To decrypt your files, you need to buy special software.
Do not attempt to decode or modify files, it may be broken.
To restore data, follow the instructions!

You can learn more at this site:
https://xxxxxxxxxxxxxxxx.onion.to
https://xxxxxxxxxxxxxxxx.onion.cab
https://xxxxxxxxxxxxxxxx.onion.nu

If a resource is unavailable for a long time to install and use the tor browser.
After you start the Tor browser you need to open this link http://xxxxxxxxxxxxxxxx.onion

UIWIX richiede alla vittima di connettersi ad un sito sulla rete TOR dove pagare la cifra richiesta in bitcoin per poter decifrare i file (equivalente a circa 200$).

Questa variante di ransomware impiega tecniche per evitare di essere eseguito in una macchina virtuale o in una sandbox. Se UIWIX rileva la presenza di dispositivi virtuali e file associati a prodotti come VMWare, VirtualBox, Virtual PC, Sandboxie e altri, semplicemente smette di funzionare. Alcune fonti riportano che il malware interrompe l’esecuzione anche quando viene lanciato su sistemi localizzati in Russia, Kazakistan e Bielorussia.

Sulla base delle informazioni finora disponibili, sembrerebbe che UIWIX sia in anche grado di catturare informazioni sugli account d’utente relativi a diversi programmi e servizi, inclusi browser e applicazioni di messaggistica.

Per ulteriori dettagli tecnici su UIWIX, inclusi svariati IoC, si suggerisce di consultare le seguenti fonti esterne (in Inglese):

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Nuova variante di Locky diffusa mediante documenti Office

13 novembre 2017

I ricercatori di Avira hanno scoperto una nuova variante del ransomware Locky distribuita mediante documenti Microsoft Word o Libre Office.Leggi tutto

Il ransomware Matrix diffuso tramite exploit kit

30 ottobre 2017

Un ricercatore di sicurezza di Malwarebytes ha scoperto una variante del ransomware Matrix che viene distribuita mediante l'exploit kit RIG in campagne di malvertising.Leggi tutto

Nuova massiccia campagna di diffusione ransomware “Bad Rabbit”

25 ottobre 2017

Stando a quanto riportato da numerose fonti, tra le quali le società di sicurezza Kaspersky e ESET, sarebbe in corso una massiccia campagna di diffusione di una nuova variante di ransomware denominata Bad Rabbit.Leggi tutto