Qualche giorno fa è stato individuato un nuovo ransomware, Saturn appunto. Cripta i file e ne modifica l'estensione in .saturn. I dati dimostrano una diffusione non enorme, ma costante, mentre sono poco chiari i metodi di diffusione. Attualmente non è decriptabile. La particolarità è che è già un RaaS, un ransomware as a service, che invita chiunque a diventare distributore del ransomware gratuitamente.
Come cripta i dati?
Quando il ransomware Saturn infetta un sistema, verificherà per prima cosa se sia in esecuzione o meno in un ambiente virtuale. Se individua una virtual machine, abbandonerà il processo di criptazione.Se non invidividua ambienti virtuali, Saturn eseguirà i seguenti comandi per cancellare le copie shadow di volume, disabiliterà il Windows Startup Repair e cancellerà il catalogo di backup di
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet.
Eseguiti questi comandi, setaccerà il computer in cerca di alcuni tipi di file bersaglio, quindi li cripterà. L'estensione di criptazione, che verrà aggiunta a quella originaria, sarà .saturn: ad esempio il file test.jpg verrà modificato in test.jpg.saturn.
Eseguiti questi comandi, setaccerà il computer in cerca di alcuni tipi di file bersaglio, quindi li cripterà. L'estensione di criptazione, che verrà aggiunta a quella originaria, sarà .saturn: ad esempio il file test.jpg verrà modificato in test.jpg.saturn.
Lascerà quindi, in ogni cartella criptata, due note di riscatto, una in formato html e l'altra in formato .txt e il file chiave #KEY-[id].KEY.
La nota di riscatto:
Il ransomwre Saturn rilascia due note di riscatto: #DECRYPT_MY_FILES#.html e #DECRYPT_MY_FILES#.txt. Sotto l'immagine che il ransomware lascia come sFondo del desktop.
Il ransomwre Saturn rilascia due note di riscatto: #DECRYPT_MY_FILES#.html e #DECRYPT_MY_FILES#.txt. Sotto l'immagine che il ransomware lascia come sFondo del desktop.
Il servizio del ransomware Saturn:
l'autore del ransomware Saturn sta consentendo a chiunque di divenire gratuitamente distributore del ransomware, lanciando il primo servizio del tutto gratuito di affiliazione di partner di un RaaS (Ransomware as a Service). L'idea alla base di Saturn è per l'appunto quella di garantire un facile accesso a tutti alla versione "ben equipaggiata" di questo nuovo ransomware. Gli aspiranti distributori non dovranno fare altro che registrarsi su questo nuovo portale ospitato nel Dar Web e riceveranno una copia del ransomware con alcune indicazioni su come iniziare a diffonderlo.
l'autore del ransomware Saturn sta consentendo a chiunque di divenire gratuitamente distributore del ransomware, lanciando il primo servizio del tutto gratuito di affiliazione di partner di un RaaS (Ransomware as a Service). L'idea alla base di Saturn è per l'appunto quella di garantire un facile accesso a tutti alla versione "ben equipaggiata" di questo nuovo ransomware. Gli aspiranti distributori non dovranno fare altro che registrarsi su questo nuovo portale ospitato nel Dar Web e riceveranno una copia del ransomware con alcune indicazioni su come iniziare a diffonderlo.
Fonte: Bleepingcomputer.com |
Fonte: bleepingcomputer.com |
L'utente che riceverà il ransomware dovrà integrarlo in altro file, come i .exe, i file Office, i .pdf o altri tipi. Questi file devono poi essere inviati alle vittime attraverso campagne di email di spam o di malvertising, i due metodi più comuni di diffusione di questo tipo di minacce informatiche. Le vittime dovranno pagare il riscatto, per decriptare i file, sul portale di pagamento di Saturn locato presso l'indirizzo su34pwhpcafeiztt.onion (vedi le foto sopra). I riscatti finiscono dritti nel conto principale in Bitcoin dell'autore del ransomware. Se però il file è stato generato tramite il portale Raas, l'utente che ha generato il file e lo ha diffuso ad altre vittime riceverà il 70% del pagamento totale: il 30% rimarrà al "padre" di Saturn. Lo schema di pagamento 70%-30% non è nuovo: era lo stesso sistema di pagamento dal RaaS Cerber, una delle operazioni di diffusione ransomware più grande ad oggi.