Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware Data Keeper disponibile come RaaS nel Dark Web

bitcoin  Data Keeper  raas  ransomware   martedì, 27 febbraio 2018

Gli esperti di sicurezza di Bleeping Computer hanno recentemente individuato Data Keeper, un nuovo esemplare di ransomware attivo in-the-wild, offerto gratuitamente come RaaS nel Dark Web.

Gli autori hanno cominciato a pubblicizzare il servizio già a partire dallo scorso 12 febbraio, rendendolo quindi disponibile in linea il 20 febbraio. Già dopo soli due giorni sono state segnalate le prime infezioni.

Il sito di Data Keeper consente a chiunque di attivare un account senza dover pagare una quota di registrazione e permette di generare immediatamente eseguibili personalizzabili del ransomware. I gestori del servizio incoraggiano gli utenti a generare e diffondere le loro creazioni con la promessa di una ricompensa in Bitcoin per ogni vittima che viene indotta a pagare la somma richiesta per il riscatto, secondo uno schema di affiliazione già visto in altri casi recenti, come Saturn.

L’analisi effettuata dai ricercatori del MalwareHunterTeam ha permesso di stabilire che gli esemplari di malware generati tramite il servizio Data Keeper sono codificati utilizzando il framework .NET e consistono di quattro stadi differenti. Il primo stadio è un eseguibile con estensione “.exe” con funzione di dropper che crea un secondo eseguibile in %LocalAppData%, ossia la cartella dei file temporanei delle applicazioni (“C:\Utenti\{nomeutente}\AppData\Local”). Questo file ha un nome casuale e l’estensione “.bin” e viene mandato in esecuzione nascosta a bassa priorità.

Il secondo stadio carica una DLL (terzo stadio) che a sua volta carica una seconda DLL (quarto stadio) che contiene il codice vero e proprio del ransomware che si occupa della cifratura dei file sulla macchina della vittima. Tutti gli stadi del malware contengono stringhe e risorse protette con tecniche proprietarie e codice offuscato mediante ConfuserEx, un software libero per la protezione di applicazioni .NET.

Un’altra caratteristica peculiare di Data Keeper è l’uso di PsExec, uno strumento di amministrazione remota a linea di comando, per lanciare il ransomware su altri PC sulla stessa rete locale della macchina infetta.

Una volta lanciato sul computer della vittima, Data Keeper utilizza gli algoritmi di cifratura AES e RSA-4096 per cifrare i file localmente e sulle condivisioni di rete accessibili. Il ransomware cifra i file sulla base delle estensioni selezionate in fase di configurazione. Data Keeper è in grado di cifrare i file con estensioni associate alle seguenti categorie:

  • immagini
  • video
  • audio
  • documenti
  • backup
  • archivi
  • database

A differenza della maggior parte dei malware di questa categoria, Data Keeper non aggiunge alcuna estensione personalizzata ai file cifrati. Una volta terminata la fase di cifratura, questo ransomware crea in ogni cartella contenente file cifrati un file HTML chiamato “!!! ##### === ReadMe === ##### !!!.htm” contenente la nota di riscatto (vedi immagine).

Nota di riscatto di Data Keeper

La nota di riscatto di Data Keeper (fonte: Bleeping Computer)

La nota informa la vittima dell’avvenuta cifratura e fornisce istruzioni su come riottenere l’accesso ai file presi in ostaggio dal ransomware. La cifra richiesta per il riscatto è variabile e può essere scelta in fase di configurazione del malware. Di solito oscilla tra i 500$ e i 1500$ da pagare in Bitcoin. Come sempre, il CERT Nazionale raccomanda di non pagare in nessun caso per non alimentare questo tipo di attività criminali.

Al momento, la capacità di individuazione di Data Keeper da parte dei più diffusi antivirus risulta già abbastanza elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto