Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Nuove campagne di diffusione dei malware NemucodAES e Kovter

Kovter  NemucodAES  ransomware  spam  trojan   lunedì, 17 luglio 2017

Un ricercatore del SANS Institute Internet Storm Center ha individuato nelle scorse due settimane un significativo incremento di campagne di Email di spam che distribuiscono archivi compressi in formato ZIP contenenti codice JavaScript malevolo che scarica e installa sul PC della vittima il ransomware NemucodAES e il trojan Kovter.

NemucodAES è una variante del trojan downloader Nemucod, noto per essere stato utilizzato come veicolo di distribuzione dei ransomware Locky e TeslaCrypt in diverse campagne di diffusione che hanno colpito anche l’Italia nel 2016. A differenza delle precedenti varianti, NemucodAES non scarica malware da server esterni ma utilizza un proprio componente rensomware interno basato su script.

Kovter è un trojan difficile da individuare e rimuovere in quanto, dopo aver infettato il computer, non usa file e rimane attivo solo in memoria. Tramite questo trojan, i cybercriminali sono in grado di attuare tentativi di truffa mediante clic, installare malware aggiuntivi e accedere da remoto alla macchina compromessa.

Le Email fraudolente con allegato il file ZIP malevolo appaiono provenire da note società di trasporto e spedizioni hanno oggetti simili ai seguenti:

  • “Status of your UPS delivery ID:[numeri casuali]”
  • “Problems with item delivery, n.[numeri casuali]”
  • “UPS parcel #[numeri casuali] delivery problem”

I corrispondenti allegati possono avere nomi diversi, come ad esempio:

  • [numeri casuali].zip
  • UPS-Package-[numeri casuali].zip
  • UPS-Label-[numeri casuali].zip

Una volta scaricato e aperto il file ZIP allegato, il codice JavaScript malevolo al suo interno scarica e installa NemucodAES e Kovter sulla macchina.

NemucodAES si comporta come la maggior parte dei crypto-ransomware, cifrando i file della vittima mediante una combinazione degli algoritmi RSA-2048 e AES-128 e chiedendo un riscatto in bitcoin (equivalente a circa 1.100 €) per poterli decifrare. NemucodAES non modifica i nomi dei file cifrati. Il ransomware memorizza sul PC della vittima, nella directory “AppData\Local\Temp”, un file con estensione “.hta” contenente le istruzioni per il pagamento del riscatto (vedi Figura 1) e un file con estensione “.bmp” che viene usato per sostituire l’immagine della scrivania (vedi Figura 2).

Nota di riscatto di NemucodAES

Figura 1 – La nota di riscatto di NemucodAES (fonte: SANS ISC InfoSec)

Immagine desktop di NemucodAES

Figura 2 – Immagine della scrivania di NemucodAES (fonte: SANS ISC InfoSec)

Mentre NemucodAES non sembra generare traffico di rete, il ricercatore che ha analizzato queste campagne di Email ha individuato scambi di informazioni tra il trojan Kovter e alcuni server C&C, ma non è stato in grado di determinarne lo scopo specifico.

Il post originale sul forum SANS ISC InfoSec contiene un’analisi dettagliata di questa campagna, compresi svariati indicatori di compromissione (IoC).

La società produttrice di antivirus Emsisoft ha messo a disposizione uno strumento software (Emsisoft Decrypter for NemucodAES) per il recupero dei file presi in ostaggio dal ransomware NemucodAES. L’efficacia di questo tool non è stata verificata dal CERT Nazionale e non vi è alcuna garanzia che possa funzionare in tutti i casi.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

CCleaner compromesso da malware

18 settembre 2017

Piriform ha pubblicato un avviso di sicurezza relativo ad una compromissione dei loro server che ha portato alla distribuzione di copie di CCleaner contenenti malware.Leggi tutto

Il ransomware SynAck colpisce aziende anche in Europa

8 settembre 2017

Esperti di sicurezza hanno rilevato un notevole incremento nelle attività di una nuova variante di ransomware denominata SynAck.Leggi tutto

Il ransomware SyncCrypt si nasconde in immagini JPEG

23 agosto 2017

È stato scoperto un nuovo ransomware chiamato SyncCrypt che viene distribuito come file WSF che scarica immagini JPEG contenenti il malware in formato ZIP.Leggi tutto