DBGer Ransomware non è nuovo, anzi: è il rebranding "rivisto e coretto" di un ransomware in diffusione da qualche tempo, il RaaS Satan. La nuova versione, individuata giusto ieri da MalwareHunter, non ha visto solo il cambio del nome, ma dell'intero modus operandi del ransomware che appare invece ora un'arma davvero temibile. Non solo l'adozione dell'exploit Eternalblue, quello che permise una diffusione impressionante di WannaCry (per ulteriori info leggi qui), ma anche di Mimikatz per potersi muovere lateralmente nelle reti compromesse.
La storia del ransomware Satan
Il ransomware Satan fu lanciato nel Gennaio 2017 come RaaS (ransomware as a service - leggi qui), consentendo a chiunque di registrarsi e creare la propria versione personalizzata del ransomware. La prima versione era assolutamente "base", come accade alla quasi totalità dei ransomware "al debutto". Eppure sono stati moltissimi i "clienti" degli sviluppatori di Satan e per molti mesi il ransomware è stato diffuso sopratutto tramite campagne di spam. Col tempo la reputazione di Satan è cresciuta, di pari passo con il crescere del numero dei "clienti" del servizio. Per dire: il gruppo che si cela dietro il ransomware LockCrypt ha iniziato come cliente di Satan, prima di sviluppare un ransomware tutto suo. Molti sono stati poi i ransomware che hanno preso spunto dal codice di Satan.
Il portale di gestione di Satan. Fonte: Bleepingcomputer |
La lezione di WannaCry
Come si è evoluto l'intero panorama dei ransomware, così anche Satan ha proseguito nel suo percorso di avanzamento. Il 2017 ha introdotto due grandi novità, che hanno avuto un ruolo campale nella diffusione dei più gravi attacchi ransomware della storia (stiamo parlando di WannaCry e NotPetya): i meccanismi di self-spreading e la capacità di "muoversi" per infettare le reti aziendali anzichè, uno per uno, soltanto gli home user. Nel Novembre 2017 anche Satan ha avviato le operazioni di updating nella stessa direzione. Per prima cosa ha incorporato una versione dell'exploit SMB EternalBlue, facendo si che il nuovo ransomware possa eseguire scansioni in una rete locale in cerca di computer col servizio SMB non aggiornato: una maniera molto efficace per massimizzare l'impatto di un attacco. L'implementazione di un sistema di movimento laterale è proseguita nel 2018, quando il ransomware, con un secondo update, ha ricevuto il proprio meccanismo: così la nuova versione di Satan non solo può scansire le reti locali, ma anche tentare di infettare altri computer usando ulteriori exploit/metodi, tra i quali:
- JBoss CVE-2017-12149
- Weblogic CVE-2017-10271
- Il brute force della web application Tomcat
Mimikatz
L'ultima aggiunta al ransomware, che nel frattempo ha anche mutato nome in DBGer Ransomware, è stata Mimikatz. Il ransomware installa Mimikatz nel computer infetto, scaricando le password per i computer in rete e utilizzando queste credenziali per accedere e infettare ulteriori dispositivi.
Tutti i meccanismi sopra descritti diverranno molto probabilmente assai comuni nei ransomware: è verosimile infatti ritenere che questi nuovi meccanismi per aumentare il potenziale di diffusione diverranno piuttosto comuni. Il cyber crimine infatti si è reso conto che è ben più profittevole organizzare una campagna di diffusione di malware per il mining di criptovaluta che un ransomware. Così i gruppi che hanno deciso di continuare a "lavorare" puntando sui ransomware devono trovare strade alternative per massimizzare il potenziale di infezione e quindi il profitto.