Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware Hermes distribuito mediante allegati Word malevoli

Hermes  ransomware   lunedì, 30 luglio 2018

È stata recentemente individuata una campagna di Email malevole con allegati documenti Microsoft Word infetti che scaricano sul computer della vittima il ransomware Hermes.

Come riportato da un ricercatore indipendente sul sito Internet Storm Center, le Email provengono da indirizzi facenti capo al dominio anjanabro.com e contengono come allegato un documento Word protetto da password.

Il testo del messaggio, destinato prevalentemente ad aziende, sembra provenire da un soggetto in cerca di lavoro e l’allegato dovrebbe contenere il curriculum di questa persona. Una volta scaricato e aperto il documento, viene richiesta l’introduzione di una password per sbloccare la visione del contenuto. La password, molto banale (“321”), è inclusa nel testo dell’Email. Successivamente all’inserimento della password viene richiesta l’attivazione delle macro.

Se la vittima acconsente incautamente all’esecuzione delle macro, il codice malevolo all’interno del documento si connette ad un server remoto e scarica direttamente sul PC un eseguibile malevolo chiamato “green.exe”. Questo eseguibile non è altro che una variante del noto ransomware Hermes, probabilmente la versione 2.1.

Hermes è già stato utilizzato all’inizio del 2018 in attacchi mirati ad obiettivi Sudcoreani. All’epoca il malware veniva scaricato mediante l’exploit di una vulnerabilità zero-day di Adobe Flash (CVE-2018-4878).

Questo ransomware non è particolarmente sofisticato. Come molti altri malware di questa categoria, Hermes utilizza gli algoritmi AES per cifrare i file e RSA per proteggere la chiave di cifratura. I file cifrati non vengono rinominati. Alla termine della fase di cifratura viene mostrata alla vittime la nota di riscatto in formato HTML (file: “DECRYPT_INFORMATION.html”).

Nota di riscatto di Hermes

La nota di riscatto del ransomware Hermes (fonte: ISC)

Per un’analisi completa di questo ransomware, inclusi svariati IoC, si rimanda al seguente post di Malwarebytes Labs (in Inglese):

La capacità di individuazione di Hermes da parte dei più diffusi antivirus risulta piuttosto elevata, mentre il file Word malevolo con funzione di downloader viene riconosciuto al momento solo da cinque antivirus.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto