Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“Anatova”: nuova minaccia ransomware colpisce anche in Italia

Anatova  ransomware   lunedì, 28 gennaio 2019

I ricercatori di sicurezza di McAfee hanno individuato una nuova famiglia di malware appartenente alla categoria del ransomware, battezzata Anatova.

Al momento non è noto il vettore di diffusione di questa minaccia. Gli esperti hanno analizzato un esemplare rinvenuto su una rete P2P privata. Anche se questo ransomware è relativamente nuovo, McAfee ha già rilevato un certo numero di infezioni in diversi paesi, tra i quali Stati Uniti, Belgio, Germania, Francia, Regno Unito, Federazione Russa, Italia, Turchia, Paesi Bassi e Svezia.

Come tutti i malware di questo tipo, lo scopo di Anatova è quello di cifrare la maggior parte dei file sulle macchine infette e di richiedere un riscatto alle vittime per poterli sbloccare. Questo ransomware chiede il pagamento in criptovaluta di 10 Dash, equivalente a circa 584 Euro, una somma piuttosto elevata se confrontata con quelle richieste da altre famiglie di ransomware.

L’esemplare analizzato da McAfee si presenta come un’applicazione Windows a 64bit con l’icona di un gioco. Il codice è protetto dall’analisi statica mediante alcune tecniche piuttosto avanzate.

Una volta lanciato sul sistema, Anatova verifica il nome dell’utente attivo e termina l’esecuzione se corrisponde ad uno della lista seguente, che contiene nomi di default utilizzati in macchine virtuali e sandbox per l’analisi del malware:

  • LaVirulera
  • tester
  • Tester
  • analyst
  • Analyst
  • lab
  • Lab
  • Malware
  • malware

Inoltre, Anatova non si esegue sulle macchine che hanno impostata come lingua di sistema una di quelle corrispondenti ai seguenti paesi:

  • Tutti i paesi CSI (Comunità degli Stati Indipendenti)
  • Siria
  • Egitto
  • Marocco
  • Iraq
  • India

Anatova è in grado di enumerare tutti i file e le cartelle su tutti i dischi interni, esterni e sulle condivisioni di rete. Questo ransomware cifra tutti i file con estensioni predefinite, quali ad esempio “.jpg”, “.doc”, “.mp3”, “.avi,” “.xtml”, “.html”, “.dat”, “.pdf”, e molte altre. I dati vengono ciftati mediante l’algoritmo RSA, rendendoli inaccessibili all’utente. Diversamente da altri malware dello stesso tipo, Anatova non aggiunge nessuna estensione speciale ai file cifrati.

Questo ransomware evita di cifrare i file all’interno delle directory come “Windows”, “Programmi” , “Programmi (x86)”, in modo da non danneggiare il sistema. Allo scopo di velocizzare la fase di cifratura, Anatova prende in considerazione solo i file che hanno una dimensione non superiore ad 1 MB. Anatova memorizza il file “ANATOVA.TXT” contenente la nota di riscatto (vedi immagine) solamente nelle cartelle in cui ha cifrato i file.

Anatova

La nota di riscatto del ransomware Anatova (Fonte: McAfee)

Al termine della fase di cifratura, il ransomware cancella le copie shadow di Windows.

A causa della natura modulare di questo malware, che rende possibile ai suoi autori l’aggiunta di nuove funzionalità, i ricercatori ritengono che Anatova possa costituire una seria minaccia per il prossimo futuro.

Il post originale di McAfee Lab contiene un’analisi dettagliata di questo malware, inclusi svariati IoC. La capacità di individuazione di Anatova da parte dei più diffusi antivirus risulta già molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto