1[1]

Zenis: il ransomware in grado di cancellare i file di backup

 Zenis: il ransomware in grado di cancellare i file di backup

- MARTEDÌ 20 MARZO 2018


 

Che la galassia dei ransomware sia sempre in fermento non è una novità; tuttavia, stando a quanto più volte ripetuto dagli esperti di sicurezza informatica, il backup è il miglior modo di difendersi: avere a disposizione un backup dei file invalida il meccanismo ricattatorio del ransomware, garantendo il recupero dei file senza pagare il riscatto. Questo spiega perché ultimamente gli sviluppatori dei ransomware sono al lavoro proprio per limare questa "mancanza" e rendere i loro malware ancora più difficili da contrastare. Una prima prova di questa nuova direzione intrapresa dai cyber criminali arriva direttamente da Zenis, un ransomware già da tempo in circolazione, che adesso sembra aver implementato anche una nuova funzione capace di eliminare i file di backup.  Il funzionamento di Zenis non è troppo diverso dai suoi simili, tuttavia questa nuova funzione lo rende ancora più pericoloso. 
 
Come agisce Zenis
Non sappiamo ancora come si diffonda questo ransomware: alcuni utenti riferiscono di aver subito attacchi contro i servizi di Remote Desktop. Una volta eseguito, questa variante esegue due controlli: il primo è vedere se il viene eseguito il file iis_agent32.exe. Il secondo è verificare se esiste un valore di registro chiamato HKEY_CURRENT_USER\SOFTWARE\ZenisService "Active".
 
Se questo valore di registro esiste o il file non è nominato iis_agent32.exe, il processo di infezione viene arrestato e il ransomware non cripterà i file sul pc. 
 
Al contrario, il ransomware compie il secondo passo: cerca e cancella le shadow volume copies, disabilita lo startup repari e pulisce il log degli eventi. 
 
 
Quindi cercherà e terminerà i processi sotto indicati:
  • sql
  • taskmgr
  • regedit
  • backup
Conclusa la prima fase, Zenis è in grado adesso di cominciare la criptazione dei file. Per prima cosa scansionerà tutti i file presenti sui drive nel computer in cerca di quelli recanti le estensioni bersaglio, che sono poco meno di un centinaio: cripta quelli corrispondenti, usando una chiave AES differente per ogni file. 
 
Quando un file viene criptato, subisce la modifica sia del nome che dell'estensione secondo la seguente formula Zenis-[2 caratteri random].[12 caratteri random].

Il nome originale del file e la chiave AES usata per la criptazione verranno criptati e salvati alla fine del file. 
 
Qui arriviamo alla peculiarità di questo ransomware: durante il processo di infezione Zenis va alla ricerca anche dei file di backup collegati ai dati appena criptati. Nel caso di una loro individuazione provvederà ad effettuare una sovrascrittura ripetuta tre volte e alla successiva cancellazione, facendo sì che non possano più essere utilizzati nel tentativo di ripristinare i file. 
 
Il riscatto
Come ogni buon ransomware che si rispetti, anche Zenis pretende il pagamento di un riscatto. Una volta terminata l'opera di criptazione, Zenis creerà la nota di riscatto rinominata Zenis-Instructions.html, all'interno della quale sono contenute le istruzioni per il pagamento del riscatto. La nota contiene le istruzioni per contattare l'attaccante. Attualmente gli indirizzi di contatto sono
  • TheZenis@Tutanota.com, 
  • TheZenis@MailFence.com, 
  • TheZenis@Protonmail.com
  • TheZenis@Mail2Tor.com.

La particolarità è che nella nota di riscatto si chiede che la vittima invii, all'attaccante stesso, la nota di riscatto e un file più piccolo di 2 MB. Il perchè l'attaccante richiede l'invio della nota di riscatto è presto detto: nella stessa è nascosta una stringa codificata in base64 che deve essere decriptata usando la chiave provata RSA, posseduta solo dallo sviluppatore del ransomware. Quando l'attaccante decripta questi dati, allora può decodificare il file inviato dalla vittima e approntare il decryptor. 

 
Il ransomware pare avere molte vulnerabilità: chi dovesse subire questo attacco non paghi il riscatto: potrebbero esserci a breve importanti novità. 

L'individuazione da parte di Quick Heal
Oltre all'individuazione statica, la funzione di Individuazione Comportamentale e la funzione Anti Ransomware di Quick Heal individuano con successo questo ransomware. 
 
1. Individuazione da parte della funzione Anti Ransomware

 
2. Individuazione da parte della funzione di Individuazione Comportamentale

a1[1]

Dopo Intel è il turno di AMD: rischio nuovi attacchi alle CPU

 Dopo Intel è il turno di AMD: rischio nuovi attacchi alle CPU

 
L'allarme riguardante gli ultimi processori AMD arriva da parte della società di sicurezza israeliana CTS Labs, la quale, in un report pubblicato di recente, ha dettagliato la presenza di 13 bug riguardanti i processori EPYC, Ryzen, Ryzen Pro e Ryzen Mobile appartenenti appunto alla AMD. La notizia è stata resa pubblica da CTS Labs solo 24 ore dopo la comunicazione alla AMD, un fatto che ha colto l'azienda decisamente di sorpresa. AMD ha dichiarato che sta ancora indagando su tale report per comprendere la metodologia e la validità di tali scoperte. 
 
Ma di cosa stiamo parlando esattamente? Come si legge in un sito dedicato i CTS Labs avrebbero individuato 4 macro-vulnerabilità, ognuna delle quali ha delle varianti relative. Tutte, in qualche modo, prendono di mira il Secure Processor delle CPU (basato su un chip ARM Cortex M5) e il chipset Promontory usato dai sistemi AMD. La tabella riassume le vulnerabilità che CTS Labs avrebbe verificato e quelle che vengono considerate efficaci a livello teorico sulle diverse CPU.

Liberamente riadattato da: "CTS Labs"

1. Masterkey
La prima macro-vulnerabilità si chiama Masterkey e ha tre varianti. Secondo CTS Labs consentirebbe di eseguire codice all’interno del Secure Processor della CPU, consentendo in pratica di installare un malware in un’area in cui sarebbe difficilissimo individuarlo.  Non solo: Masterkey consentirebbe di disattivare funzioni di sicurezza come Firmware Trusted Platform Module (FTPM) e Secure Encrypted Virtualization (SEV) aprendo la strada ad altri attacchi. Questa operazione renderebbe gli attaccanti in grado di sottrarre perfino credenziali riservate, aggirando la protezione di Windows Credential Guard.
Liberamente riadattato da: "CTS Labs"
Ci sono tuttavia degli ostacoli che rendono piuttosto macchinoso questo tipo di attacco: infatti si dovrebbe eseguire un flash del BIOS. Oltre a ciò, la tecnica di attacco è stata testata "con successo" solo sui processori Ryzen e EPYC, mentre resta solo teoria, almeno per adesso, per le CPU Ryzen Pro e Ryzen Mobile.

2. Chimera
A prendere di mira il chipset Promontory è invece Chimera, una vulnerabilità che secondo i ricercatori consentirebbe di sfruttare alcune backdoor inserite dallo sviluppatore originale e che AMD non ha rimosso. La falla permetterebbe di avviare l’esecuzione di codice attraverso un dispositivo collegato al computer come un disco esterno o una chiave USB, ma anche tramite Bluetooth o Wi-Fi. Come nel precedente caso, il rischio riguarda l'installazione di un malware a un livello in cui non si riuscirebbe a individuarlo. Un malware installato al livello del chipset potrebbe perfino attaccare il sistema operativo tramite il Direct Memory Access (DMA)
Liberamente riadattato da: "CTS Labs"
3. RyzenFall
La terza “famiglia” di vulnerabilità è RyzenFall e prende di mira AMD Secure OS, il sistema operativo del Secure Processor. Secondo CTS Labs, l’attacco consentirebbe di accedere alla memoria protetta e di modificarla in modo da prendere il controllo del Secure Processor.
Liberamente riadattato da: "CTS Labs"
 
Un attacco del genere, tuttavia, sarebbe possibile soltanto con elevati privilegi di amministrazione, che si possono ottenere soltanto quando la sicurezza del PC è già stata compromessa. Stando a quanto si legge nel report, Ryzenfall affliggerebbe solo i processori Ryzen e non gli EPYC.

4. FallOut
L’ultima falla di sicurezza riguarda i soli processori EPYC ed è stata battezzata con il nome di Fallout. Si tratta di una falla di sicurezza simile a Ryzenfall, che prende di mira il Boot Loader del Secure Processor. Il risultato sarebbe lo stesso, cioè la possibilità di accedere ad aree protette della memoria e di modificarne il contenuto.
Liberamente riadattato da: "CTS Labs"

In definitiva, tutta la vicenda è ancora da verificare, ma le vulnerabilità descritte, se confermate, sono effettivamente critiche: sfruttarle con successo comporterebbe la capacità per gli attaccanti di ottenere una duratura persistenza sul sistema e una alta capacità di eludere tutti i software di sicurezza. Va anche detto però che le vulnerabilità descritte dai CTS Labs hanno caratteristiche (richiesta di privilegi di amministratore, accesso fisico alla macchina, utilizzo del BIOS e driver realizzati ad hoc) tali per cui si può pensare che possano essere sfruttati da pirati informatici molto competenti, che hanno a disposizione mezzi economici e logistici piuttosto particolari. 
 
Chi sarebbero dunque le principali vittime di un attacco del genere? Difficile dirlo, ma data la complessità di questo tipo di attacchi probabilmente stiamo parlando di quel terreno legato alla cyber war tra Stati avversari, un campo ad appannaggio delle strutture dei servizi segreti e dei vari gruppi collegati. Per concludere, è necessario ripetere che tutto deve ancora essere confermato dal produttore. Restiamo dunque in attesa di futuri sviluppi.
defandroid[1]

Triada, banking torjan venduto insieme a 42 dispositivi low costi di Android

 Triada, banking trojan venduto insieme a 42 dispositivi low cost di Android

 

Al giorno d'oggi possediamo tutti uno smartphone. Questi oggetti sono diventati parte della nostra vita con una capacità di incidervi come poche altre innovazioni hanno saputo fare nel corso della storia. Sebbene ultimamente sia diventato quasi impossibile distinguere tra i vari modelli sul mercato, esiste ancora una certezza, cioè che i sistemi operativi che vengono utilizzati sono essenzialmente due: Android ed IOS. Il sistema prodotto da Apple si limita ad essere utilizzato sui vari modelli di iPhone, rendendolo dunque esclusivo; più complesso è invece il discorso che interessa Android, presente, se pur in versioni diverse, su tutti gli altri smartphone prodotti o quasi. Senza volersi addentrare in una comparazione tra i due, è evidente che Android sia quantitativamente più presente sul mercato rispetto ad IOS. Quello che però ci interessa approfondire in questo articolo è la notizia secondo la quale attualmente sarebbero venduti sul mercato 40 modelli di smartphone Android low cost infettatti con il banking trojan Triada (Android.Triada.231 trojan). 
 
Triada è un banking trojan molto famoso ed estremamente dannoso con il quale si è iniziato a fare i conti dal 2016. La sua caratteristica principale è la possibilità di ottenere i privilegi di root sul dispositivo ed infettare Zygote, il processo che permette lo svolgimento di quasi tutte le funzioni di Android. L'infezione di Zygote rende di fatto impossibile riconoscere Triada ed eliminarlo. Per farlo, andrebbe rimosso Zygote e, di conseguenza, ripulito tutto il dispositivo. 
 
Dalla Cina con furore
Il virus è presente sui dispositivi prodotti da brand meno conosciuti di provenienza per lo più cinese come Leagoo e Nomu, Doogee, Vertex, Advan, Cherry Mobile ed altri. Il dato che però ci interessa, è che questi dispositivi non sono destinati ad un unico mercato di riferimento, come potrebbe essere quello cinese o asiatico in generale, ma vengono venduti in tutto il mondo.

Questo scenario è solo la punta dell'iceberg e aggiunge una nuova sfumatura ad un quadro che era già stato dipinto ad inizio del 2017 da parte degli esperti di cybersicurezza. I dati precedenti risalgono al Luglio del 2017, quando Triada era stato rilevato su 4 modelli di smartphone Leagoo e Nomu (Leagoo M5 Plus, Leagoo M8, Nomu S10, and Nomu S20). Sebbene questi modelli siano stati individuati in Estate, stando ancora una volta alle parole dei ricercatori, questo non avrebbe danneggiato i responsabili, tanto che il  Leagoo M9, rilasciato  a Dicembre 2017 rientra a pieno titolo tra i modelli incriminati. 
 
Maggiore indiziata un'azienda per la produzione di software con sede a Shangai
I ricercatori si sono rivolti ai brand sotto osservazione per sondare il terreno del loro grado di conoscenza della situazione e dei disagi eventuali riscontrabili dagli utenti e come danno d'immagine per l'azienda stessa. Da questi confronti sarebbe emerso che il principale indiziato dell'infezione di Triada sarebbe una compagnia di Shangai che si occupa dello sviluppo e vendita di software. La "collaborazione" con Leagoo prevederebbe l'inclusione di applicazioni appartenenti a questa compagnia di Shangai all'interno del pacchetto di quelle previste nella configurazione standard da Leagoo, che richiederebbero l'inserimento di un codice di terze parti per permetterne l'utilizzo. Sfortunatamente, il team di Leagoo non ha mai nutrito sospetti davanti a queste richieste, lasciando così la possibilità ad Android.Triada.231 di insinuarsi all'interno dei loro smartphone senza trovare il minimo ostacolo. 
 
Il lupo perde il pelo ma non il vizio 
Se inizialmente si poteva pensare ad una coincidenza, i dubbi circa la liceità dell'operato dell'azienda di Shangai sono stati definitivamente fugati quando quest'ultima è stata individuata come la responsabile di un'altra serie di attacchi malware destinati ai dispositivi Android verificatasi nel Novembre del 2016. Determinante è stata l'individuazione dello stesso certificato utilizzato per questo attacco e per quelli successivi. A rendere gli attacchi del 2016 diversi è stato il fatto che l'infezione era diffusa tramite un'applicazione che contava più di un milione di download sul PlayStore e il virus stesso,  Android.MulDrop adware
1[1]

Memcached Server: le nuove armi per attacchi DDoS Reflection da record

 Memcached Server: le nuove armi per attacchi DDoS Reflection da record

 
Memcached è un sistema di caching distribuito in RAM per oggetti: è molto usato nell'ambito delle web app dinamiche per ridurre il carico sul database. Fornisce infatti alcuni dati ai quali l'accesso è più frequente direttamente nella memoria RAM. 
 
Da qualche giorno alcuni ricercatori hanno scoperto che i server Memcached vengono usati per lanciare attacchi DDoS massivi usando pochissime risorse computazionali. Tutto ciò è stato reso possibile a causa dell'implementazione, tutt'altro che sicura, da parte degli sviluppatori di Memcached del supporto per il protocollo UDP nei propri prodotti. Per peggiorare le cose i server Memcached espongono anche la loro porta UDP a connessioni esterne in configurazione di default: in parole povere significa che qualsiasi server Memcached non è protetto da firewall e può subire in qualsiasi momento attacchi DDoS. 
 
I server Memcached sono sotto attacco da qualche giorno: Cloudflare ha pubblicato un report dettagliato per spiegare il problema.
 
Come funzionano gli attacchi?
 
Gli attaccanti inviano richieste di piccolo peso ai server Memcached sulla porta 11211. Poichè il protocollo UDP non è correttamente implementato, invece di rispondere con un pacchetto di dimensioni simili o più piccolo, i server Memcached rispondono con pacchetti che sono, in alcuni casi, centinaia di volte più grandi della richiesta iniziale.
 
Ora, poichè si parla del protocollo UDP, bisogna dire che l'indirizzo IP di origine del pacchetto può facilmente essere falsificato: un attaccante quindi può facilmente ingannare un server Memcached indirizzando la pesante risposta del server stesso verso altri indirizzi IP, quelli cioè delle vittime. Tra gli esperti di attacchi DDoS questo tipo di attacco prende il nome di DDoS Reflection. 
 
Secondo Cloudflare gli attacchi DDoS eseguiti con questa tecnica possono avere fattori di amplificazione fino a 51.200: citano apertamente alcuni episodi realmente accaduti, dove gli aggressori hanno inviato pacchetti da 15 byte e i server Memcached hanno risposto con pacchetti da 750 kb. Questo fattore di amplificazione puà variare tuttavia in base alla capacità dell'aggressore di creare più richieste che ingannino il server e producano sempre più risposte e sempre più pesanti. 
 
Un paio di esempi
Cloudflare ha analizzato svariati attacchi: il 26 Febbraio è stato mitigato un attacco durato ben 2 giorni che aveva raggiunto il peso di oltre 260 Gbps (Gigabit per secondo) e 23 Mpps (Milioni di pacchetti al secondo).

"La maggioranza dei pacchetti (risposti da Memcache) sono di circa 1400 byte. Calcolando 23 Mpps x 1400 byte, abbiamo 257 Gbps di larghezza di banda" ha affermato Marek Majkowski, ingegnere di Cloudflare. 
 

L'attacco record
Il primo Marzo viene invece individuato l'attacco DDoS più devastante della storia, che ha raggiunto il peso di 1.35 Tbps (terabit per secondo) tramite 126,9 milioni di pacchetti al secondo. L'attacco ha colpito duramente GitHub, il famoso servizio di hosting per progetti software ed è durato oltre 8 minuti. Da GitHub hanno fatto sapere che i dati non sono a rischio e che:

"l'attacco si è originato da oltre un migliaio di differenti sistemi autonomi lungo decine di migliaia di endpoint unici. Si tratta di un attacco con amplificazione usando un approccio memcached". 
 
L'attacco a Github
Il fatto di amplificazione si è attestato attorno a 51.000: per ogni byte inviato all'attaccante, i server hanno risposto con 51kb inviati all'obiettivo.
 
Oltre 93.000 sono i server Memcached vulnerabili.
1[1]

ATTENZIONE TRUFFA ONLINE

 Truffa online: EiTest distribuisce il ransomware GandCrab e Netsupport Manager per accedere da remoto

 
Ufficialmente il ransomware GandCrab è risolvibile: sono stati pubblicati online alcuni tool di decriptazione gratuiti (facilmente rintracciabili con ricerce sui principali motori di ricerca). Ciò però non ne sta impedendo la distribuzione, anzi.
 
Oggi è stata individuata una campagna EITest sfruttata per diffondere il ransomware GandCrab come parte della truffa HoeflerTextFont. Questa truffa di ingegneria sociale rimescola il testo di un sito compromesso quando un visitatore lo raggiunge attraverso il motore di ricerca. Il codice Javascript mostra quindi un avviso che informa che il  testo è illeggibile a causa del fatto che il
browser non riesce a trovare il carattere: richiede quindi l'installazione di un Font Pack per il browser al fine di risolvere il problema.

Fonte: bleepingcomputer.com  
 
Se un utente fa clic sul pulsante "Update"m verrà scaricato un file chiamato Font_Update.exe: appena eseguito avvierà il ransomware GandCrab.Ecco come funziona su Chrome:



Sul ransomware GandCrab rimandiamo alle analisi precedentemente fatte, disponibili qui e qui.

EITest diffonde anche Netsupport Manager
Oltre al ransomware, l'eseguibile scaricato come Font Pack scarica anche il software per l'assistenza in remoto Netsupport Manager. Probabilmente non è l'unico software di assistenza in remoto che distribuisce, potrebbe dipendere dal tipo di payload in diffusione: spesso nella stessa ondata si distribuiscono più payload.

Nel caso in questione, una volta eseguito Font_Update.exe, viene estratto e eseguito un file offuscato g.js.

Fonte: bleepingcomputer.com
Questo script g.js  si connette a un sito remoto e avvia il download sul pc infetto di una grande varietà di file. Il pacchetto di file scaricati è appunto per Netsupport Manager e verrà scaricato nella cartella tokipp in %AppData%. Va specificato che Netsupport Manager è un software genuino che, in questo caso, viene sfruttato da cyber criminali per controllare da remoto il pc infetto.

Fonte:bleepingcomputer.com
 
 
 
 Una volta scaricati tutti i file, verrà eseguito client32.exe e l'attaccante avrà libero accesso al pc.

Chi sono le possibili vittime?
Chiunque esegua i browser Firefox e/o Chrome. Sono in diffusione infatti due diversi formati di questo fantomatico Font Pack, uno per ogni browser in questione. Nel caso il vostro computer visualizzasse l'invito a scaricare questi Font Pack chiudete immediatamente il browser e evitate la navigazione sul sito infetto.
gand[1]

IRansomware GandCrab: sconfitta la prima versione, c’è già la seconda in diffusione.

 Ransomware GandCrab: sconfitta la prima versione, c'è già la seconda in diffusione.

 
 
La scorsa settimana è stato diffuso il tool di decriptazione per la prima versione del ransomware GandCrab, grazie ad una operazione della Polizia Rumena e dell'Europol che, ottenuto l'accesso ai server Command e Control del ransomware stesso, ha permesso il recupero di alcune chiavi di decriptazione delle vittime. 
 
Gli sviluppatori di GandCrab, dopo la violazione subita, hanno annunciato la messa in diffusione di una seconda versione includente server command & control più sicuri così da prevenire operazioni simili che possano compromettere la diffusione del ransowmare. 
 
La seconda versione

La nuova versione di GandCrab è stata individuata ieri e contiene alcuni cambiamenti utili a renedere più stabile e sicuro il ransomware e a differenziarlo dalla versione originale. Attualmente non ha soluzione.
 
I cambiamenti di GandCrab 2.
Il cambiamento principale sembra la modifica dell'hostname del server C&C del Ransomware, che ora è politiaromana.bit "in onore" della Polizia Romena che ha assistito i ricercatori di sicurezza nel recupero delle chiavi di criptazione delle vittime, malwarehunterteam.bit in "onore" dei ricercatori di sicurezza esecutori dell'attacco ai server C&C e gdcb.it. Il ransomware, prima di avviare la criptazione dei file, deve accedere a questi server C&C.

Un altro cambiamento importante è la modifica dell'estensione che il ransomware aggiunge ai file che cripta, dopo l'estensione originaria: .CRAB appunto. Per sempio il file casa.pdf diventa casa.pdf.CRAB.
 

La nota di riscatto ha un nuovo nome e contenuti diversi: la nuova nota si chiama CRAB-Decrypt.txt e ora include le istruzioni per contattare gli sviluppatori del ransomware tramite il servizio di istant messaging Tox. 
 
 
Infine la pagina di Pagamento Tor di GandCrab ha subito forti modifiche: la nuova pagina ha un layout diverso e differenti istruzioni per le vittime. 
 
1a[1]

Il trojan per Mac Coldroot è in diffusione da un anno, ma gli antivirus non lo rilevano.

 Patrick Wardle è un ricercatore di sicurezza di Digita Security: da oltre un anno sta studiando il trojan per Mac Coldroot, che pare a tutt'oggi invisibile agli antivirus. 
 
Wardle si è imbattuto in questo trojan studiando TCC.db, un database del sistema operativo Apple molto appetitoso per i cyber criminali: solitamente è bersaglio di keylogger che puntano a sottrarre informazioni. TCC.db è infatti un database molto particolare, che contiene le informazioni più sensibili ospitate nel sistema e che è stato recentemente protetto attraverso una specifica funzione di sicurezza, la "System Integrity Protection (SIP), introdotta con OS X El Capitan. Le versioni precedenti restano però vulnerabili ad attacchi contro TCC.db.
 
Le ricerche di Wardle...
 

Wardle è incappato nel file com.apple.audio.drvier2.app, che fa riferimento espressamente a TCC.db: è un (presunto) driver audio per Mac che però Wardle ha notato non possedere alcuna firma digitale. Inoltre risulta impacchettato con UPX, un metodo spesso usato dai cyber criminali che vogliono offuscare i contenuti dei propri malware: tutto ciò non ha fatto altro che confermare i sospetti di Wardle. 

 
L'applicazione dannosa
Ulteriori analisi del funzionamento dell'app, hanno dimostrato che Wardle aveva visto giusto. Coldroot, al momento dell'esecuzione, visualizza una finestra che chiede l'inserimento delle credenziali degli utenti. Una volta completato l'accesso, questa finestra si chiude: l'utente non visualizza alcun evidente cambiamento. In realtà, con questo passaggio, il malware si garantisce la persistenza sul sistema: si è infatti registrato sotto forma di daemon sul Mac a livello di utente root, così si auto avvia ad ogni accensione del computer. 
 
Il keylogger
Coldroot è appunto un keylogger: registra in remoto tutto ciò che viene digitato sul computer dall'utente. Il trojan stabilisce un contatto col proprio server Command e Control e comincia ad inviare le informazioni sottratte. Tramite il server C&C gli attaccanti possono non solo raccogliere le informazioni, ma inviare al trojan comandi da remoto per eseguire ulteriori azioni dannose.
1[1]

Nuova variante di Mirai trasforma i dispositivi IoT in Server Proxy

 I ricercatori di sicurezza hanno individuato una nuova variante del malware Mirai (ne abbiamo parlato qui e qui) , che ha come obiettivo quello di infettare i dispositivi IoT e dispositivi di rete per trasformarli in una rete di Proxy Server da usare per direzionare traffico dannoso. Le botnet di rete usate come Proxy Server non sono affatto una novità: lo scorso anno ne sono state individuate moltissime, la più famosa è stata la Linux.ProxyM.
 
Funzione Proxy e funzione DDoS
I ricercatori però hanno individuato una novità peculiare in questa nuova versione del famigerato Mirai: questa variante contiene sia la funzione proxy che quella DDoS. Non ne sono concordi alcuni utenti della comunità infosec, che dichiarano che ancora non c'è certezza della compresenza delle due

funzioni in questa botnet. In realtà è verosimile credere che questa variante abbia entrambe le funzioni perchè precedenti varianti della botnet Mirai avevano subito vari aggiustamenti per funzionare come proxy server: nessuna di queste però, probabilmente poichè versioni test, ha mai visto una massiccia distribuzione. In ogni caso anche queste versioni, pur introducendo la funzione proxy, miglioravano e affinavano principalmente al funzione DDoS.

 
L'attuale variante Mirai
La variante attuale si distingue perchè è la prima variane distribuita con continuità che mette sullo stesso livello di importanza la funzione proxy e quella DDoS. I ricercatori hanno chiamato questa variante OMG, perchè in alcune parti del codice sorgente del malware, dove un tempo si trovava il termine Mirai si trova la stringa OOMGA. Così questa variante si aggiunge alle svariate della famiglia Mirai: le pià famose sono state Satori, Masuta e Akuma.

Che cosa fa questa variante?
 
  • devia il traffico per nascondere la vera location dei server C&C;
  • agisce come punto di lancio per attacchi dizionario e brute force, per bypassare i software di sicurezza che limitano il numero di tentativi falliti per IP;
  • lancia attacchi di SQL injection, attacchi XSS e altri per eseguire exploit delle applicazioni web ecc...

 

Dato che Mirai OMG si affida alla classica tecnica di diffusione sui dispositivi tramite attacchi di brute force contro dispositivi protetti da password deboli, potrebbe essere già sufficiente per difendere un dispositivo IoT la modifica delle password di default. 
1[1]

La crisi degli exploit kit: anche RIG abbandona i ransomwarebientali

Qualche giorno fa è stato individuato un nuovo ransomware, Saturn appunto. Cripta i file e ne modifica l'estensione in .saturn. I dati dimostrano una diffusione non enorme, ma costante, mentre sono poco chiari i metodi di diffusione. Attualmente non è decriptabile. La particolarità è che è già un RaaS, un ransomware as a service, che invita chiunque a diventare distributore del ransomware gratuitamente. 
 
Come cripta i dati?
Quando il ransomware Saturn infetta un sistema, verificherà per prima cosa se sia in esecuzione o meno in un ambiente virtuale. Se individua una virtual machine, abbandonerà il processo di criptazione.Se non invidividua ambienti virtuali, Saturn eseguirà i seguenti comandi per cancellare le copie shadow di volume, disabiliterà il Windows Startup Repair e cancellerà il catalogo di backup di

Windows.

 
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet.

Eseguiti questi comandi, setaccerà il computer in cerca di alcuni tipi di file bersaglio, quindi li cripterà. L'estensione di criptazione, che verrà aggiunta a quella originaria, sarà .saturn: ad esempio il file test.jpg verrà modificato in test.jpg.saturn. 
 
Lascerà quindi, in ogni cartella criptata, due note di riscatto, una in formato html e l'altra in formato .txt e il file chiave #KEY-[id].KEY. 
 
La nota di riscatto: 
Il ransomwre Saturn rilascia due note di riscatto: #DECRYPT_MY_FILES#.html e #DECRYPT_MY_FILES#.txt. Sotto l'immagine che il ransomware lascia come sFondo del desktop.

 

Negli scorsi anni gli exploit kit hanno comportato svariati grattacapi per tecnici e vittime. Ma già nell'Estate del 2016 la parabola degli exploit kit, capitanati appunto dal celeberrimo RIG, si è fatta discendente, fino al punto che nel 2018 RIG ha smesso di distribuire qualsiasi ceppo di ransomware, preferendo i miner di criptovaluta o i trojan infostealer per rubare informazioni. Queste le conclusioni di Brad Duncan, ricercatore di sicurezza di Palo Alto Network. 
 
Il mercato degli exploit è sempre più in crisi
Duncan è stato tra i primi a denunciare questo importante cambiamento nel panorama delle minacce informatiche, notando una vera e propria contrazione del "mercato" degli exploit kit (applicazioni web-based utili a facilitare la diffusione di codice dannoso verso browser vulnerabili e non aggiornati). Duncan aveva denunciato il declino di questo mercato già nel 2016: tutto il 2017 gli ha
accordato ragione, dato che non solo non è emersa nessuna operazione in grande stile, ma anche che i due principali attori dello scorso anno, Sundown e Neutrino, sono semplicemente scomparsi.
 
RIG ha continuato a dominare le individuazioni per le attività di exploit, ma il numero di indivduazioni è una frazione dei numeri che un tempo RIG registrava: Duncan conferma un pessaggio da 812 campagne mensili nel gennaio 2017 alle solo 65 nel Gennaio 2018. 
 
 
I motivi di tale declino sono svariati, ad esempio i browser attuali sono molto più difficili da attaccare, l'uso di Flash è andato riducendosi sempre più dopo che i browser più importanti hanno cominciato a privilegiare l'HTML5 e vi sono state svariate operazioni coordinate per mettere fuori gioco gli exploit. 
 
Lo stato dell'arte
Perfino i cyber criminali hanno notato i tempi difficili che gli exploit stanno attraversando: molti infatti sono passati allo spam o all'ingegneria sociale (spear phishing e truffe tramite falsi supporti tecnici).  Al momento gli exploit kit sono in grosso affanno e probabilmente scompariranno: resiste una "clientela fidelizzata", ma che è verosimile pensare si ridurrà drasticamente dato che il potenziale infettivo degli exploit è drasticamente ridotto. Ecco una breve panoramica, sempre offerta da Duncan.
 
  1. Campagna Afraidgate: RIG fu usato per distribuire il ransomware Locky.
  2. Campagna EITest: RIG fu usato per diffondere CryptoMix, CryptoShield e Spora
  3. Campagna Darkleech: RIG fu usato per distribuire Cerber

Nessuno di questi ransomware è stato distribuito nel 2018 usando RIG. Cerber, CryptoMix, CryptoShield, Locky e Spora non sono più attivi. Le campagne stesse sono andate ad esaurirsi.

Nel Gennaio 2018 RIG è stato usato in 3 differenti campagne:
1. Fobos, per distribuire il trojan Bunitu.
2. Ngay, per distribuire miner di bitcoin e malware per il furto di dati e informazioni.
3. Seamless per distribuire l'infostealer Ramnit. 
 
Sono stati individuati alcuni exploit non flash per tentare di alimentare una nuova generazione di exploit kit, ma con scarso successo. Insomma questa tecnica di attacco andrà molto probabilmente a scomparire grazie ai progressi della ricerca sulla cybersecurity. 
 
1[1]

Un nuovo spyware per Android RedDrop ruba i dati e esegue intercettazioni ambientali

Qualche giorno fa è stato individuato un nuovo ransomware, Saturn appunto. Cripta i file e ne modifica l'estensione in .saturn. I dati dimostrano una diffusione non enorme, ma costante, mentre sono poco chiari i metodi di diffusione. Attualmente non è decriptabile. La particolarità è che è già un RaaS, un ransomware as a service, che invita chiunque a diventare distributore del ransomware gratuitamente. 
 
Come cripta i dati?
Quando il ransomware Saturn infetta un sistema, verificherà per prima cosa se sia in esecuzione o meno in un ambiente virtuale. Se individua una virtual machine, abbandonerà il processo di criptazione.Se non invidividua ambienti virtuali, Saturn eseguirà i seguenti comandi per cancellare le copie shadow di volume, disabiliterà il Windows Startup Repair e cancellerà il catalogo di backup di

Windows.

 
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet.

Eseguiti questi comandi, setaccerà il computer in cerca di alcuni tipi di file bersaglio, quindi li cripterà. L'estensione di criptazione, che verrà aggiunta a quella originaria, sarà .saturn: ad esempio il file test.jpg verrà modificato in test.jpg.saturn. 
 
Lascerà quindi, in ogni cartella criptata, due note di riscatto, una in formato html e l'altra in formato .txt e il file chiave #KEY-[id].KEY. 
 
La nota di riscatto: 
Il ransomwre Saturn rilascia due note di riscatto: #DECRYPT_MY_FILES#.html e #DECRYPT_MY_FILES#.txt. Sotto l'immagine che il ransomware lascia come sFondo del desktop.

 

Il servizio del ransomware Saturn:
l'autore del ransomware Saturn sta consentendo a chiunque di divenire gratuitamente distributore del ransomware, lanciando il primo servizio del tutto gratuito di affiliazione di partner di un RaaS (Ransomware as a Service). L'idea alla base di Saturn è per l'appunto quella di garantire un facile accesso a tutti alla versione "ben equipaggiata" di questo nuovo ransomware. Gli aspiranti distributori non dovranno fare altro che registrarsi su questo nuovo portale ospitato nel Dar Web e riceveranno una copia del ransomware con alcune indicazioni su come iniziare a diffonderlo.

 

Fonte: Bleepingcomputer.com
Fonte: bleepingcomputer.com
L'utente che riceverà il ransomware dovrà integrarlo in altro file, come i .exe, i file Office, i .pdf o altri tipi. Questi file devono poi essere inviati alle vittime attraverso campagne di email di spam o di malvertising, i due metodi più comuni di diffusione di questo tipo di minacce informatiche. Le vittime dovranno pagare il riscatto, per decriptare i file, sul portale di pagamento di Saturn locato presso l'indirizzo  su34pwhpcafeiztt.onion (vedi le foto sopra). I riscatti finiscono dritti nel conto principale in Bitcoin dell'autore del ransomware. Se però il file è stato generato tramite il portale Raas, l'utente che ha generato il file e lo ha diffuso ad altre vittime riceverà il 70% del pagamento totale: il 30% rimarrà al "padre" di Saturn. Lo schema di pagamento 70%-30% non è nuovo: era lo stesso sistema di pagamento dal RaaS Cerber, una delle operazioni di diffusione ransomware più grande ad oggi. 
 

 

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy