Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta variante del ransomware Rakhni con capacità di miner

Rakhni  ransomware  trojan  worm   venerdì, 6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni (Trojan-Ransom.Win32.Rakhni), noto già dal 2013, che introduce una funzionalità per il mining di criptovalute. In realtà, come descritto nel seguito, il malware decide sulla base delle caratteristiche del PC della vittima se attivare la funzionalità di cifratura dei file, tipica dei ransomware, o quella per l’estrazione di diversi tipi di criptovalute.

Questo malware viene distribuito prevalentemente attraverso campagne di Email di spam con allegati malevoli. Stando a quanto riportato da Kaspersky, il paese più colpito risulta la Federazione Russa (95,57%), seguito da Kazakistan (1,36%), Ucraina (0,57%), Germania (0,49%) e India (0,41%). Altri paesi europei, tra cui l’Italia, sono coinvolti in misura ancora minore.

Le Email, scritte per lo più in Russo, hanno come allegato un file di Microsoft Word (estensione “.docx”) che a sua volta presenta al suo interno quello che appare come un documento PDF embedded. Se la vittima fa incautamente doppio clic sull’icona del documento, invece di aprire un file PDF lancia un eseguibile malevolo mascherato da prodotto Adobe allo scopo di indurre l’utente a consentire il permesso per l’esecuzione (vedi immagine).

Rakhni

Fonte: Kaspersky Lab

Questo modulo, un trojan con funzione di downloader, effettua come prima cosa una serie di controlli sul sistema allo scopo di evitare di essere eseguito all’interno di un ambiente virtuale. Il malware controlla come prima cosa la presenza di processi riconducibili a sandbox, software di virtualizzazione e altri strumenti tipicamente utilizzati per l’analisi di malware. Anche il nome della macchina, l’indirizzo IP e diverse chiavi di registro vengono verificati confrontandoli con liste codificate di nomi, indirizzi e chiavi che possono indicare la presenza di macchine virtuali. Se anche uno solo di questi controlli dà esito positivo, il programma malevolo interrompe immediatamente l’esecuzione.

Il trojan installa un certificato di root incluso tra le proprie risorse. Tutti i moduli successivamente scaricati sono firmati con questo falso certificato che appare emesso da Microsoft Corporation o Adobe Systems Incorporated.

A questo punto, il trojan decide se scaricare il ransomware o il miner a seconda della presenza o meno sul sistema della cartella %AppData%\Bitcoin. Se questa cartella esiste viene scaricato il modulo per la cifratura. Se la cartella non esiste e la macchina è equipaggiata con un processore con almeno due core logici, viene scaricato il modulo per il mining.

Se nessuna di queste circostanze si verifica, viene attivata la funzionalità di worm. Il trojan tenta di copiare sé stesso su tutti i computer accessibili sulla rete locale con la directory Utenti condivisa.

Indipendentemente dalla modalità scelta, il trojan verifica la presenza di processi in esecuzione relativi a prodotti antivirus. Se nel sistema non viene trovato alcun antivirus attivo, il trojan esegue una serie di comandi per disabilitare Windows Defender.

Durante l’esecuzione, sia il trojan downloader, sia il modulo ransomware inviano Email ad un indirizzo codificato al loro interno. Questi messaggi contengono varie statistiche sull’infezione e una serie informazioni, tra cui:

  • nome del computer;
  • indirizzo IP della vittima;
  • percorso del malware sul sistema;
  • data e ora correnti;
  • data di creazione del malware.

I messaggi del trojan includono anche una lista dei processi in esecuzione e uno screenshot allegato.

Funzionalità del modulo ransomware

Il modulo ransomware viene scaricato in forma di archivio protetto da password nella cartella di startup dell’utente, decompresso mediante lo strumento WinRAR e lanciato. L’eseguibile malevolo è chiamato taskhost.exe.

Una volta lanciato, il ransomware effettua una serie di controlli in maniera analoga al downloader e termina i seguenti processi:

1cv7s.exe, Foxit Advanced PDF Editor.exe, mspaint.exe, soffice.exe, 1cv8.exe, Foxit Phantom.exe, mysqld.exe, sqlservr.exe, 1cv8c.exe, Foxit PhantomPDF.exe, NitroPDF.exe, sqlwriter.exe, 7zFM.exe, Foxit Reader.exe, notepad.exe, STDUViewerApp.exe, acad.exe, FoxitPhantom.exe, OUTLOOK.EXE, SumatraPDF.exe, Account.EXE, FoxitReader.exe, PDFMaster.exe, thebat.exe, Acrobat.exe, FreePDFReader.exe, PDFXCview.exe, thebat32.exe, AcroRd32.exe, gimp-2.8.exe, PDFXEdit.exe, thunderbird.exe, architect.exe, GSmeta.exe, pgctl.exe, ThunderbirdPortable.exe, bricscad.exe, HamsterPDFReader.exe, Photoshop.exe, VISIO.EXE, Bridge.exe, Illustrator.exe, Picasa3.exe, WebMoney.exe, CorelDRW.exe, InDesign.exe, PicasaPhotoViewer.exe, WinDjView.exe, CorelPP.exe, iview32.exe, postgres.exe, WinRAR.exe, EXCEL.EXE, KeePass.exe, POWERPNT.EXE, WINWORD.EXE, fbguard.exe, Magnat2.exe, RdrCEF.exe, wlmail.exe, fbserver.exe, MSACCESS.EXE, SmWiz.exe, wordpad.exe, FineExec.exe, msimn.exe, soffice.bin, xnview.exe

Inoltre, se non viene trovato in esecuzione il processo avp.exe, il ransomware cancella le copie shadow di Windows.

Successivamente, Rakhni dà inizio alla fase di scansione e di cifratura dei file. Questo ransomware cifra tutti i file con le seguenti estensioni:

.ebd, .jbc, .pst, .ost, .tib, .tbk, .bak, .bac, .abk, .as4, .asd, .ashbak, .backup, .bck, .bdb, .bk1, .bkc, .bkf, .bkp, .boe, .bpa, .bpd, .bup, .cmb, .fbf, .fbw, .fh, .ful, .gho, .ipd, .nb7, .nba, .nbd, .nbf, .nbi, .nbu, .nco, .oeb, .old, .qic, .sn1, .sn2, .sna, .spi, .stg, .uci, .win, .xbk, .iso, .htm, .html, .mht, .p7, .p7c, .pem, .sgn, .sec, .cer, .csr, .djvu, .der, .stl, .crt, .p7b, .pfx, .fb, .fb2, .tif, .tiff, .pdf, .doc, .docx, .docm, .rtf, .xls, .xlsx, .xlsm, .ppt, .pptx, .ppsx, .txt, .cdr, .jpe, .jpg, .jpeg, .png, .bmp, .jiff, .jpf, .ply, .pov, .raw, .cf, .cfn, .tbn, .xcf, .xof, .key, .eml, .tbb, .dwf, .egg, .fc2, .fcz, .fg, .fp3, .pab, .oab, .psd, .psb, .pcx, .dwg, .dws, .dxe, .zip, .zipx, .7z, .rar, .rev, .afp, .bfa, .bpk, .bsk, .enc, .rzk, .rzx, .sef, .shy, .snk, .accdb, .ldf, .accdc, .adp, .dbc, .dbx, .dbf, .dbt, .dxl, .edb, .eql, .mdb, .mxl, .mdf, .sql, .sqlite, .sqlite3, .sqlitedb, .kdb, .kdbx, .1cd, .dt, .erf, .lgp, .md, .epf, .efb, .eis, .efn, .emd, .emr, .end, .eog, .erb, .ebn, .ebb, .prefab, .jif, .wor, .csv, .msg, .msf, .kwm, .pwm, .ai, .eps, .abd, .repx, .oxps, .dot

I file vengono cifrati mediante l’algoritmo RSA-1024. L’estensione dei file cifrati viene sostituita con “.neitrino”. Durante la fase di cifratura, Rakhni memorizza in ogni cartella il file “MESSAGE.txt”che contiene la nota di riscatto.

Funzionalità del modulo di mining

Il modulo miner viene scaricato con le stesse modalità del ransomware, tranne per la cartella di destinazione che in questo caso è %AppData%\KB[8_caratteri casuali].

Una volta scaricato e decompresso il modulo miner, il downloader genera uno script VBScript (Check_Updates.vbs) che viene lanciato al successivo riavvio del sistema. Questo script contiene due comandi per il mining. Il primo avvia un processo per l’estrazione della criptovaluta Monero. Il secondo avvia un processo per l’estrazione di Monero Original (è possibile che questo processo utilizzi la GPU per il mining).

Il modulo scaricato (svchost.exe) viene invece utilizzato per estrarre la criptovaluta Dashcoin mediante il tool MinerGate (apparentemente questo processo non utilizza la GPU).

Il post originale di Kaspersky Lab contiene un’analisi dettagliata di questo malware, inclusi svariati IoC. La capacità di individuazione di questa variante di Rakhni da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto

Il nuovo ransomware PyLocky colpisce paesi europei

11 settembre 2018

I ricercatori di sicurezza di Trend Micro hanno scoperto PyLocky, un nuovo esemplare di ransomware distribuito prevalentemente in Germania e Francia.Leggi tutto