Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware Data Keeper disponibile come RaaS nel Dark Web

bitcoin  Data Keeper  raas  ransomware   martedì, 27 febbraio 2018

Gli esperti di sicurezza di Bleeping Computer hanno recentemente individuato Data Keeper, un nuovo esemplare di ransomware attivo in-the-wild, offerto gratuitamente come RaaS nel Dark Web.

Gli autori hanno cominciato a pubblicizzare il servizio già a partire dallo scorso 12 febbraio, rendendolo quindi disponibile in linea il 20 febbraio. Già dopo soli due giorni sono state segnalate le prime infezioni.

Il sito di Data Keeper consente a chiunque di attivare un account senza dover pagare una quota di registrazione e permette di generare immediatamente eseguibili personalizzabili del ransomware. I gestori del servizio incoraggiano gli utenti a generare e diffondere le loro creazioni con la promessa di una ricompensa in Bitcoin per ogni vittima che viene indotta a pagare la somma richiesta per il riscatto, secondo uno schema di affiliazione già visto in altri casi recenti, come Saturn.

L’analisi effettuata dai ricercatori del MalwareHunterTeam ha permesso di stabilire che gli esemplari di malware generati tramite il servizio Data Keeper sono codificati utilizzando il framework .NET e consistono di quattro stadi differenti. Il primo stadio è un eseguibile con estensione “.exe” con funzione di dropper che crea un secondo eseguibile in %LocalAppData%, ossia la cartella dei file temporanei delle applicazioni (“C:\Utenti\{nomeutente}\AppData\Local”). Questo file ha un nome casuale e l’estensione “.bin” e viene mandato in esecuzione nascosta a bassa priorità.

Il secondo stadio carica una DLL (terzo stadio) che a sua volta carica una seconda DLL (quarto stadio) che contiene il codice vero e proprio del ransomware che si occupa della cifratura dei file sulla macchina della vittima. Tutti gli stadi del malware contengono stringhe e risorse protette con tecniche proprietarie e codice offuscato mediante ConfuserEx, un software libero per la protezione di applicazioni .NET.

Un’altra caratteristica peculiare di Data Keeper è l’uso di PsExec, uno strumento di amministrazione remota a linea di comando, per lanciare il ransomware su altri PC sulla stessa rete locale della macchina infetta.

Una volta lanciato sul computer della vittima, Data Keeper utilizza gli algoritmi di cifratura AES e RSA-4096 per cifrare i file localmente e sulle condivisioni di rete accessibili. Il ransomware cifra i file sulla base delle estensioni selezionate in fase di configurazione. Data Keeper è in grado di cifrare i file con estensioni associate alle seguenti categorie:

  • immagini
  • video
  • audio
  • documenti
  • backup
  • archivi
  • database

A differenza della maggior parte dei malware di questa categoria, Data Keeper non aggiunge alcuna estensione personalizzata ai file cifrati. Una volta terminata la fase di cifratura, questo ransomware crea in ogni cartella contenente file cifrati un file HTML chiamato “!!! ##### === ReadMe === ##### !!!.htm” contenente la nota di riscatto (vedi immagine).

Nota di riscatto di Data Keeper

La nota di riscatto di Data Keeper (fonte: Bleeping Computer)

La nota informa la vittima dell’avvenuta cifratura e fornisce istruzioni su come riottenere l’accesso ai file presi in ostaggio dal ransomware. La cifra richiesta per il riscatto è variabile e può essere scelta in fase di configurazione del malware. Di solito oscilla tra i 500$ e i 1500$ da pagare in Bitcoin. Come sempre, il CERT Nazionale raccomanda di non pagare in nessun caso per non alimentare questo tipo di attività criminali.

Al momento, la capacità di individuazione di Data Keeper da parte dei più diffusi antivirus risulta già abbastanza elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Scoperta nuova variante del ransomware GandCrab

24 aprile 2018

È stata recentemente individuata in-the-wild una nuova variante del noto ransomware GandCrab diffusa principalmente mediante Email malevole. Leggi tutto

Il nuovo ransomware WhiteRose colpisce in Europa

9 aprile 2018

I ricercatori di sicurezza del MalwareHunterTeam hanno individuato un nuovo esemplare di ransomware denominato WhiteRose, basato sulla famiglia InfiniteTear.Leggi tutto