Qualche giorno fa è stato individuato un nuovo ransomware, Saturn appunto. Cripta i file e ne modifica l'estensione in .saturn. I dati dimostrano una diffusione non enorme, ma costante, mentre sono poco chiari i metodi di diffusione. Attualmente non è decriptabile. La particolarità è che è già un RaaS, un ransomware as a service, che invita chiunque a diventare distributore del ransomware gratuitamente. 
 
Come cripta i dati?
Quando il ransomware Saturn infetta un sistema, verificherà per prima cosa se sia in esecuzione o meno in un ambiente virtuale. Se individua una virtual machine, abbandonerà il processo di criptazione.Se non invidividua ambienti virtuali, Saturn eseguirà i seguenti comandi per cancellare le copie shadow di volume, disabiliterà il Windows Startup Repair e cancellerà il catalogo di backup di

Windows.

 
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet.

Eseguiti questi comandi, setaccerà il computer in cerca di alcuni tipi di file bersaglio, quindi li cripterà. L'estensione di criptazione, che verrà aggiunta a quella originaria, sarà .saturn: ad esempio il file test.jpg verrà modificato in test.jpg.saturn. 
 
Lascerà quindi, in ogni cartella criptata, due note di riscatto, una in formato html e l'altra in formato .txt e il file chiave #KEY-[id].KEY. 
 
La nota di riscatto: 
Il ransomwre Saturn rilascia due note di riscatto: #DECRYPT_MY_FILES#.html e #DECRYPT_MY_FILES#.txt. Sotto l'immagine che il ransomware lascia come sFondo del desktop.

 

Il servizio del ransomware Saturn:
l'autore del ransomware Saturn sta consentendo a chiunque di divenire gratuitamente distributore del ransomware, lanciando il primo servizio del tutto gratuito di affiliazione di partner di un RaaS (Ransomware as a Service). L'idea alla base di Saturn è per l'appunto quella di garantire un facile accesso a tutti alla versione "ben equipaggiata" di questo nuovo ransomware. Gli aspiranti distributori non dovranno fare altro che registrarsi su questo nuovo portale ospitato nel Dar Web e riceveranno una copia del ransomware con alcune indicazioni su come iniziare a diffonderlo.

 

Fonte: Bleepingcomputer.com
Fonte: bleepingcomputer.com
L'utente che riceverà il ransomware dovrà integrarlo in altro file, come i .exe, i file Office, i .pdf o altri tipi. Questi file devono poi essere inviati alle vittime attraverso campagne di email di spam o di malvertising, i due metodi più comuni di diffusione di questo tipo di minacce informatiche. Le vittime dovranno pagare il riscatto, per decriptare i file, sul portale di pagamento di Saturn locato presso l'indirizzo  su34pwhpcafeiztt.onion (vedi le foto sopra). I riscatti finiscono dritti nel conto principale in Bitcoin dell'autore del ransomware. Se però il file è stato generato tramite il portale Raas, l'utente che ha generato il file e lo ha diffuso ad altre vittime riceverà il 70% del pagamento totale: il 30% rimarrà al "padre" di Saturn. Lo schema di pagamento 70%-30% non è nuovo: era lo stesso sistema di pagamento dal RaaS Cerber, una delle operazioni di diffusione ransomware più grande ad oggi.