Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware SOREBRECT non usa file e si inietta in un processo di sistema

ransomware  SOREBRECT   lunedì, 19 giugno 2017

I ricercatori di sicurezza di Trend Micro hanno scoperto una nuova famiglia di ransomware, battezzata SOREBRECT, che infetta il PC della vittima senza usare file e utilizza tecniche di iniezione di codice per eseguire la sua funzione di cifratura.

Questo malware è stato individuato per la prima volta in-the-wild all’inizio di aprile all’interno di reti e sistemi appartenenti ad aziende dell’area del Medio Oriente. A partire da maggio Trend Micro ha rilevato infezioni di SOREBRECT in Canada, Cina, Croazia, Giappone, Italia, Messico, Russia, Stati Uniti e Taiwan.

Trend Micro ha individuato due varianti di questo ransomware, rilevate rispettivamente come RANSOM_SOREBRECT.A e RANSOM_SOREBRECT.B. L’analisi ha rivelato un’elevata capacità di questo malware di rendersi invisibile cancellando le proprie tracce sul sistema e agendo esclusivamente in memoria.

SOREBRECT viene installato sulla macchina bersaglio sfruttando PsExec, uno strumento software legittimo di Windows, comunemente usato nelle reti aziendali, che consente agli amministratori di eseguire comandi o copiare e lanciare eseguibili da remoto sul computer controllato. Questo vettore di attacco prevede che i cybercriminali siano già entrati in possesso di credenziali di amministratore o siano penetrati su alcune macchine chiave della rete sfruttando vulnerabilità o attacchi a forza bruta.

Sorebrect

La catena di attacco di SOREBRECT

Una volta lanciato, SOREBRECT inietta il proprio codice nel processo di sistema svchost.exe e auto-distrugge il file binario principale, rimanendo attivo unicamente in memoria. Il malware tenta anche di eliminare altre tracce dell’infezione cancellando il log degli eventi, le copie shadow di sistema e altre informazioni che possono far risalire gli analisti ai file creati ed eseguiti sulla macchina.

Il processo svchost.exe contenente il codice malevolo esegue la funzione principale del ransomware, cifrando i file dell’utente sulla macchina locale e sulle condivisioni di rete. SOREBRECT appende ai file cifrati l’estensione “.pr0tect”. Una volta terminata la cifratura dei file, il ransomware crea sulla scrivania il file “READ ME ABOUT DECRYPTION.txt” contenete la seguente nota di riscatto (indirizzi offuscati):

Your files were encrypted.
Your personal ID is: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
To buy private key for unlocking files please contact us:
pr0tector@XXXXXXXX.com
pr0tector@XXXXXXXX.com
Please include the ID above.

SOREBRECT comunica in maniera protetta con i server C&C controllati dagli attaccanti attraverso la rete TOR.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

DoubleLocker: nuovo ransomware per Android cifra i dati e blocca il dispositivo

16 ottobre 2017

I ricercatori di ESET hanno individuato DoubleLocker, un nuovo esemplare di ransomware per Android che cifra i file e modifica il PIN di sblocco del dispositivo. Leggi tutto

Il ransomware SynAck colpisce aziende anche in Europa

8 settembre 2017

Esperti di sicurezza hanno rilevato un notevole incremento nelle attività di una nuova variante di ransomware denominata SynAck.Leggi tutto

Il ransomware SyncCrypt si nasconde in immagini JPEG

23 agosto 2017

È stato scoperto un nuovo ransomware chiamato SyncCrypt che viene distribuito come file WSF che scarica immagini JPEG contenenti il malware in formato ZIP.Leggi tutto