Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware SOREBRECT non usa file e si inietta in un processo di sistema

ransomware  SOREBRECT   lunedì, 19 giugno 2017

I ricercatori di sicurezza di Trend Micro hanno scoperto una nuova famiglia di ransomware, battezzata SOREBRECT, che infetta il PC della vittima senza usare file e utilizza tecniche di iniezione di codice per eseguire la sua funzione di cifratura.

Questo malware è stato individuato per la prima volta in-the-wild all’inizio di aprile all’interno di reti e sistemi appartenenti ad aziende dell’area del Medio Oriente. A partire da maggio Trend Micro ha rilevato infezioni di SOREBRECT in Canada, Cina, Croazia, Giappone, Italia, Messico, Russia, Stati Uniti e Taiwan.

Trend Micro ha individuato due varianti di questo ransomware, rilevate rispettivamente come RANSOM_SOREBRECT.A e RANSOM_SOREBRECT.B. L’analisi ha rivelato un’elevata capacità di questo malware di rendersi invisibile cancellando le proprie tracce sul sistema e agendo esclusivamente in memoria.

SOREBRECT viene installato sulla macchina bersaglio sfruttando PsExec, uno strumento software legittimo di Windows, comunemente usato nelle reti aziendali, che consente agli amministratori di eseguire comandi o copiare e lanciare eseguibili da remoto sul computer controllato. Questo vettore di attacco prevede che i cybercriminali siano già entrati in possesso di credenziali di amministratore o siano penetrati su alcune macchine chiave della rete sfruttando vulnerabilità o attacchi a forza bruta.

Sorebrect

La catena di attacco di SOREBRECT

Una volta lanciato, SOREBRECT inietta il proprio codice nel processo di sistema svchost.exe e auto-distrugge il file binario principale, rimanendo attivo unicamente in memoria. Il malware tenta anche di eliminare altre tracce dell’infezione cancellando il log degli eventi, le copie shadow di sistema e altre informazioni che possono far risalire gli analisti ai file creati ed eseguiti sulla macchina.

Il processo svchost.exe contenente il codice malevolo esegue la funzione principale del ransomware, cifrando i file dell’utente sulla macchina locale e sulle condivisioni di rete. SOREBRECT appende ai file cifrati l’estensione “.pr0tect”. Una volta terminata la cifratura dei file, il ransomware crea sulla scrivania il file “READ ME ABOUT DECRYPTION.txt” contenete la seguente nota di riscatto (indirizzi offuscati):

Your files were encrypted.
Your personal ID is: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
To buy private key for unlocking files please contact us:
pr0tector@XXXXXXXX.com
pr0tector@XXXXXXXX.com
Please include the ID above.

SOREBRECT comunica in maniera protetta con i server C&C controllati dagli attaccanti attraverso la rete TOR.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Il ransomware UIWIX si installa sfruttando l’exploit EternalBlue

18 maggio 2017

È stata scoperta una nuova variante di ransomware, denominata UIWIX, che viene diffusa sfruttando l'exploit EternalBlue, già utilizzato da WannaCry.Leggi tutto

Come funziona il ransomware WannaCry e cosa fare per proteggersi

15 maggio 2017

WannaCry, anche noto come WCry, WanaCrypt0r o Wana Decrypt0r 2.0, è una variante di ransomware che si è diffusa in maniera incontrollata in tutto il mondo a partire da venerdì 12 maggio.Leggi tutto

Nuova campagna ransomware “WannaCry”

12 maggio 2017

Una nuova variante di ransomware denominata WannaCry si sta diffondendo rapidamente sull'intera rete Internet. Il malware sfrutta una vulnerabilità dei sistemi operativi Microsoft riscontrata nel protocollo SMB. Leggi tutto