1[1]

Il Ransomware Sodinokibi ora si diffonde con nuove modalità: il nuovo partner è l'exploit kit RIG

mercoledì 26 giugno 2019
Un analisi di Alessandro Papini - Presidente Accademia Italiana Privacy

Ci risiamo.
Ha ragione il segretario generale del Garante per la protezione dei dati a dire che c'è un evidente calo di attenzione sui temi della privacy. Come sempre il gruppo di Hacktivisti LulzSecITA, costola di Anonymous ci ha fatto vedere che la realtà è proprio questa. Infatti nel loro profilo twitter in queste ore è apparsa la comunicazione di un altra visita a Csamed, il gigante che gestisce l'albo clienti e fornitori più importante di Italia.

La cosa che spaventa e che indigna è che, come dichiarato da LulzSecITA:

"I dati che custodiva e che custodisce tutt'ora questa azienda, insieme a Net4Market (software di e-procurement per gestire telematicamente le fasi di approvvigionamento. Include servizi dedicati ai fornitori) e AlboFornitori (un punto d'incontro tra domanda e offerta negli acquisti on-line della Pubblica Amministrazione), sono stati resi pubblici da noi nel mese passato, e per quel che sappiamo, nonostante la violazione, CSAmed non ha comunicato nulla a nessuno, riguardante il breach.

Quanto accaduto, in termini di legge e di previsioni del GDPR si sarebbe dovuto comunicare al Garante della Privacy, comunicando l'evento a tutti i loro utenti con l'invito a cambiare password per quanto successo.

Cose ovviamente, come già detto, che CSAmed non ha assolutamente fatto, dal momento che noi, siamo qui, ANCORA! La loro preoccupazione maggiore è stata quella di bloccarci su twitter e di far cancellare il downloads dei file.

Abbiamo navigato per settimane nei loro server, abbiamo visionato e scaricato tutti i loro documenti, abbiamo potuto vedere le spese di tutti i loro clienti/fornitori."

Il gruppo di Hacktivisti ha concluso rilasciando tutti gli user e le password per accedere da amministratore in tutti i suoi database.

Preoccupa e indigna dicevamo, perchè da un lato non è stato fatto niente per correggere i bug del portale e dall'altro non ci risultano comunicazioni di data breach e neanche comunicazioni agli interessati. Ha ragione il Segretario del Garante, dopo una buona partenza (almeno un buon 25% delle aziende in Italia hanno iniziato a cambiare mentalità sulla protezione dei dati nell'arco dei mesi) si è verificato un calo di attenzione.

Questa grave situazione va combattuta su due fronti:

da una parte il Garante deve iniziare ad elevare sanzioni serie (la sanzione di un data breach come quello di Csamed potrebbe essere di buon esempio per tutte le realtà italiana);
dall'altra le aziende devono capire che gli Amministratori di Rete vanno pagati adeguatamente perchè custodiscono i datiche sono il bene più prezioso che possediamo e per questo motivo oggetto di frequenti rapine. Non è possibile continuare a pagare un Amministratore di rete come un riparatore di pc, non è tollerabile che l'azienda non paghi almeno 4 corsi di aggiornamento all'anno sui sistemi di sicurezza e sui linguaggi di programmazione.
Potrà rimanere sullo stomaco a molti ma LulzSecITA sta scoprendo delle falle enormi in giro per la rete e, da questo punto di vista, da la possibilità di porvi rimedio prima che i dati entrino in possesso di mani sbagliate. E' giusto spiegare che la differenza tra LulzSecITA, Anonymous e i cyber criminali è notevole: i primi due lavorano per far vedere le vulnerabilità e per fare emergere la verità, mentre i cyber criminali si muovono per denaro, per estorcere o per chiedere riscatti in cambio della non divulgazione dei dati rubati. Si, è vero, i mezzi che usano sia gli uni che gli altri non sono leciti ma il fine è assai diverso, questo almeno va riconosciuto.

Il mese scorso fecero visita anche a noi, ma ci dettero modo di risolvere una falla e rendere un pochino più sicuro il nostro sito.
Adesso ognuno faccia la sua parte!

Alessandro Papini - Presidente Accademia Italiana Privacy

con+logo[1]

Il Ransomware Sodinokibi ora si diffonde con nuove modalità: il nuovo partner è l'exploit kit RIG

martedì 25 giugno 2019
Il Ransomware Sodinokibi ora si diffonde con nuove modalità: il nuovo partner è l'exploit kit RIG

Qualche giorno fa abbiamo diffuso un alert rispetto ad alcune campagne di spam, mirate contro utenti italiani e tedeschi, che diffondevano il ransomware Sodinokibi.

Clicca qui se vuoi approfondire l'argomento >> Nuovo allarme ransomware in Italia: Sodinokibi si diffonde via false email a contenuto legale

Ci sono però ora delle novità in merito. Nella prima versione Sodinokibi era diffuso esclusivamente tramite email di spam: la classica email pensata secondo i criteri dell'ingegneria sociale per ridurre la soglia di attenzione, ingannare, mandare in confusione l'utente per indurlo a scaricare l'allegato compromesso ed abilitarne il contenuto. Ora, il ricercatore di exploit kit Nao_sec ha individuato una nuova procedura di diffusione di Sodinokibi, che segna un nuovo matrimonio tra exploit kit e ransomware, ovvero l'uso del celeberrimo RIG EK.
Nao_sec ha scoperto infatti che adesso questo ransomware viene diffuso anche attraverso malvertising: fastidiosi e insistenti pop up e ads, se cliccati anche per errore, reindirizzano a pagine contenenti l'exploit kit RIG. Tutto ciò avviene tramite la rete di ads PopCash, la quale reindirizza automaticamente verso pagine compromesse secondo certe condizioni (prima tra tutti il sistema operativo e i software eseguiti sul sistema della vittima).

Nel video sottostante è mostrato il funzionamento dell'exploit kit attraverso la sessione Any.run.

Sodinokibi Ransomware installed via Malvertising from BleepingComputer.com on Vimeo.

Con questa nuova affiliazione, il ransomware Sodinokibi è pronto per aumentare in maniera esponenziale i propri attacchi. Per farci un'idea della portata di attacchi messi in atto da questo ransomware negli ultimi trenta giorni, basta guardare i dati forniti dal portale Id-ransomware: il grafico sottostante mostra tutti i campioni di file criptati da Sodinokibi caricati da utenti vittime sul portale.

Fonte: bleepingcomputer.com

Dal momento che gli exploit kit sfruttano le vulnerabilità (nuova o vecchie, conosciute o sconosciute) di software e sistemi operativi, la difesa migliore dai suoi attacchi è certamente quella di mantenere costantemente aggiornati il proprio sistema operativo e software comunemente usati come Flash, Java, lettori PDF, i browser ecc..

a+28129[1]

ABlueKeep, il bug dell'RDP: ecco come scoprire se un host è vulnerabile

Breve aggiornamento settimanale su due importanti ransomware: possiamo infatti dichiarare concluso il corso di vita e attività di GandCrab, mentre torna a solcare la scena del cyber crime una vecchia conoscenza, il ransomware Ryuk.

1. GandCrab risolvibile: disponibile il tool di decriptazione.
Qualche giorno fa abbiamo appreso, ad opera degli sviluppatori stessi del ransomware, della sospensione dell'attività di GandCrab, uno dei ransomware di punta degli ultimi due anni. Ora c'è finalmente anche la possibilità di risolvere le versioni più recenti, ovvero le v. 5.0.4, v.5.1 e v.5.2.

Coloro che necessitano di assistenza per queste infezione possono scriverci all'email alessandro@nwkcloud.it inviandoci la nota di riscatto e due file criptati. I nostri tecnici procederanno al test per individuare la versione e per l'approntamento del tool di decriptazione.

Ulteriori informazioni su www.decryptolocker.it

2. Ryuk Ransomware: individuata nuova versione
E' stata individuata, già in uso in attacchi reali, una nuova variante del ransomware Ryuk, una vecchia conoscenza che latitava dalle scene da qualche tempo. La variante individuata è dotata di una particolare blacklist, dove sono inseriti indirizzi IP e computer che non subiranno alcuna criptazione nel caso in cui il ransomware dovesse riuscire ad entrare nel sistema.

Questa versione di Ryuk è particolarmente insidiosa perché contrassegnata da un certificato digitale valido, che ne rende assai complessa l'individuazione da parte di soluzioni antivirus non dotati di sistemi di individuazione comportamentale. Il ricercatore di sicurezza Vitali Kremez, che per primo ha individuato e analizzato un campione di questa nuova variante, ha specificato che vi sono alcune modifiche del tutto originali rispetto alle precedenti varianti. Ad esempio questa nuova variante, verifica l'output di arp -a in cerca di particolare stringhe di indirizzi IP: se trovati, il computer non verrà criptato. Le stringhe ricercate sono 10.30.4, 10.30.5, 10.30.6, or 10.31.32.

In aggiunta alla blacklist di indirizzi IP, il nuovo Ryuk compara il nome del computer con le stringhe "SPB", "Spb", "spb", "MSK", "Msk" e "msk": ugualmente, se il nome del computer contiene anche una sola di queste stringhe, il computer non verrà criptato. Probabilmente infatti MSK sta per Mosca, così come SPB potrebbe indicare San Pietroburgo.

Fonte: bleepingcomputer.com

Difficile capire il perché di tali verifiche, probabilmente per evitare di criptare computer di utenti Russi, o almeno così ritiene il ricercatore Kremez. Il ransomware, comunque, come in precedenti versioni, continua a verificare le impostazioni di linguaggio del computer per escludere utenti russi, bielorussi e ucraini. Resta comunque possibile infettare i computer russi, spiega Kremez, via "worm", sfruttando cioè le vulnerabilità dell'SMB con exploit ome EternalRomance.

Per quanto riguarda l'Italia, Michele Risegari, brand manager di Seqrite Italia ed esperto IT, spiega che "le analisi svolte dal ransomware sui sistemi in cerca di particolari impostazioni linguistiche rendono l'idea che questo malware potrebbe essere pensato per colpire in Europa Occidentale e nelle americhe: una minaccia da tenere sotto controllo. I sistemi di individuazione comportamentale saranno fondamentali per contrastare questo ransomware, visto che reca un certificato digitale valido che rende complessa l'individuazione da parte di soluzioni antivirus prive di strumenti di analisi euristica."

Il meccanismo di criptazione
Se il computer passa tutta questa serie di verifiche, si avvierà il meccanismo di criptazione: l'estensione di criptazione, che viene aggiunta dopo il nome originale del file, è .RYK.

Fonte: bleepingcomputer.com

Il meccanismo di criptazione non ha invece subito alcuna modifica rispetto a versioni precedenti dello stesso malware. In ogni cartella contenente file criptati Ryuk crea la nota di riscatto RyukReadMe.html: questa contiene una frase "balance of shadow universe" e due indirizzi email di contatto tramite le quali ricevere le istruzioni di pagamento.

Le email di contatto sono sorcinacin@protonmail.com e neyhyretim@protonmail.com.

Fonte: bleepingcomputer.com

Al solito, consigliamo di non pagare il riscatto dato che non v'è alcuna assicurazione né che il decriptor dei cyber attaccanti funzioni né che questi rispondano. [/ffb_param][/ffb_paragraph_0]

a+28129[1]

Ursnif, il malware che minaccia l'Italia: vediamolo da vicino

Gli utenti italiani sono bersagliati, ormai da mesi, in maniera ciclica durante l'arco delle settimane, da ondate di email di spam che distribuiscono varianti differenti dello stesso malware: parliamo del trojan Usrnif. Ne abbiamo parlato qui e qui. Yoroi ha analizzato attentamente questo malware: il report completo è disponibile qui (in inglese).

Noi ve ne rendiamo una versione breve, per punti, dato che questa minaccia continua a colpire utenti italiani e non sembra affatto che queste campagne malware avranno presto termine.

Come si diffonde Ursnif
Come detto in molti articoli precedenti, Ursnif viene diffuso tramite campagne di spam massive rivolte contro utenti italiani. Le email recano con se un allegato, solitamente un archivio compresso .ZIP contenente, a sua volta, documenti Excel dannosi. Tali fogli di calcoli rappresentano il primo step, l'inizio della catena di infezione. Il documento Excel, una volta decompresso e aperto, richiederà l'abilitazione della macro per poter correttamente visualizzare il contenuto: la macro è compromessa e contiene il codice necessario per avviare il download del payload di Ursnif.

Fonte: https://blog.yoroi.company

Come si vede nella foto esempio, il contenuto del file Excel è sfocato: in primo piano c'è un alert fake di Excel con l'invito espresso ad abilitare i contenuti. Il codice compromesso è nascosto nella cella A1: è uno script criptato in Base64.

La macro recupera il contenuto dalla prima cella del documento e, successivamente, lo concatena con il contenuto delle sei righe sotto la prima: il prossimo step è l'esecuzione di una lunga serie di script offuscati su più livelli.

E' in questa fase, molto complessa, che avviene anche la verifica di quale versione di Windows sia installata sulla macchina della vittima: il codice contiene appunto una condizione "if" dalla quale dipende quale "branca" della catena di infezione dovrà essere eseguita per quella specifica vittima. Se la versione installata sulla macchina bersaglio NON E' Windows 10, il malware eseguirà i contenuti di "OBFUSCATED PAYLOAD ONE".

Fonte: https://blog.yoroi.company

Il codice successivo, necessario per completare l'infezione, viene addirittura recuperato tramite il download di una particolare immagine PNG, ospitata in comuni piattaforme di condivisione delle immagini come imgbox.com. L'immagine contiene il codice powershell, ben nascosto con tecniche di steganografia.

L'immagine stefanografata

Vi sono quindi altri step, che conducono a ben 6 payload concatenati. Uno di questi contiene, nella prima riga di codice, una condizione molto particolare: dopo aver recuperato la data corrente, ne estrae il campo relativo al mese (in questo caso Maggio) e lo compara con l'espressione regolare *gg*, tenendo di conto del formato della data. Questa verifica serve ad assicurarsi che l'utente bersaglio sia italiano e che il malware venga eseguito entro il tempo prestabilito di durata della campagna.

Al termine dei 6 step, si arriva al download i un payload PE32 da una location molto nascosta: il payload viene spostato in %TEMP% ed eseguito.

Il Loader
In questo approfondimento viene analizzato un classico campione del loader DLL di Ursnif, che inietta il codice dannoso nel processo "explorer.exe". Il particolare campione analizzato da Yoroi viene scaricato dal server “loaidifds[.]club”. Il payload finale, infine, è un semplice file PE codificato in base64.

Il Payload
Analizzando attentamente la libreria DLL, emerge che questa incorpora ben 3 diversi riferimenti C&C, due dei quali ancora attivi.

L'infezione di Windows 10
Come indicato sopra, Ursnif verifica la versione del sistema operativo Windows in esecuzione sulla macchina della vittima e sceglie quale "branca" dell'infezione attivare. Quanto indicato sopra è ciò che accade, in breve, quando l'attacco è portato contro sistemi che non sono Windows 10.

Anche in questo caso avviene il download di una DLL, il cui scopo è il download di una diversa immagine PNG contenente una serie di comandi anche in questo caso ben nascosti tramite steganografia. La tecnica è però diversa: il malware usa infatti un livello di criptazione AES. Sotto l'immagine PNG che viene scaricata dalla piattaforma postimg[.]cc

L'immagine staganografata

C'è qui un'ulteriore verifica della nazionalità della vittima: la chiave di decriptazione della criptazione AES infatti è generata a partire dalla proprietà LCID di "Cultureinfo", la struttura dati che fornisce informazioni su calendario, lingua e le impostazioni locali in uso nella macchina.

Anche in questo caso ci sono ben 6 diversi stadi, tutti variamente offuscati o criptati, ma che conducono nei fatti al medesimo payload descritto nella sezione "Il loader".

Indicatori di compromissione
Per gli IOC rimandiamo alla parte conclusiva dell'analisi originale di Yoroi.

1+28129[1]

Il trojan GootKit di nuovo in diffusione in Italia via email PEC

Il CERT-PA dirama un nuovo allarme riguardante l'ennesima campagna di distribuzione malware che sta colpendo l'Italia: la campagna in corso, individuata a partire dal 7 Giugno 2019, sta diffondendo una variante di GootKit.

Le email vettore
Le email vettore sono provenienti da indirizzi PEC appartenenti ai provider legalmail.it, Aruba.it, Register.it: le segnalazioni di ricezione di tali email, oltre a varie PA (ma anche il CERT_PA ha ricevuto direttamente tali email), provengono sia da aziende che da privati.

Il contenuto dei messaggi fa riferimento a multe e sanzioni per violazioni del codice stradale da parte della Polizia Locale di Arezzo (che, ovviamente, è estranea al contesto in analisi). L'oggetto delle email è del tipo:

“Atto amministrativo relativo ad una sanzione amministrativa prevista dal Codice della Strada Nr. Y/xxxxxx/2019”.

Tutte le email recano, come allegato, un file compresso in formato ZIP il cui nome è simile a “AttoAmministrativoXXXXXX.zip“ dove XXXXXX sta per una sequenza di numeri casuali.

Fonte: CERT-PA

L'archivio compresso contiene un file Excel denominato "ScanXXXXXX", in estensione .xlsm e con XXXXXXX che è una sequenza di numeri casuali. L'apertura di questo file comporta l'esecuzione dello script dannoso e quindi l'avvio della catena di infezione: è infatti questo script il responsabile del download della variante di Gootkit sulla macchina infetta.

GootKit: cosa è e perchè è un problema per l'Italia
Di GootKit stiamo parlando spesso nell'ultimo periodo. I dati del CERT-PA (rimandiamo a questo articolo per approfondimento) rivelano come GootKit faccia parte di un gruppo di malware che vengono ciclicamente diffusi contro utenti italiani. In alcune campagne GootKit è diffuso assieme ad un altro malware, Ursnif.

La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato (ovvero non in vendita ne né dark né nel deep web). Insomma c'è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniezione di codice nel browser in uso, intercettare comunicazioni di rete, smart card inserite ecc... La versione attualmente in diffusione, come detto una nuova variante, ha una funzione aggiuntiva: installa backdoor sui sistemi infetti permettendo agli attaccanti di assumere il controllo delle macchine delle vittime.

1[1]

Nuova botnet sta tentando il brute-forcing di oltre 1.5 milioni di server RDP

Sono state molteplici le segnalazioni, provenienti da diversi team di sicurezza, riguardanti una sofisticatissima campagna botnet, attualmente in corso a livello mondiale: questa campagna sta tentando il brute-force di più di un milione e mezzo di server Windows RDP pubblicamente accessibili in Internet.

Ribattezzato Goldbrute, lo schema della botnet è progettato per incrementare gradualmente, aggiungendo di volta in volta un nuovo sistema infetto nella sua rete. Per rimanere invisibile agli strumenti di sicurezza e agli analisti malware, gli attaccanti dietro questa campagna inviano comandi a ciascuna macchina infetta di colpire milioni di server usando una unica combinazione di username e password, di modo che il server bersaglio riceva i tentativi di brute-force da diversi indirizzi IP.

Ecco lo schema di attacco di GoldBrute:

Fase 1: dopo un brute-force eseguito con successo su un server RDP, gli attaccanti installano il malware GoldBrute (Java-based) sulla macchina bersaglio.

Fase 2: per controllare il bot, gli attaccanti usano un server centralizzato di comando e controllo che scambia comandi e dati tramite una connessione WebSocket criptata con AES.

Fase 3 e 4: ogni bot riceve la sua prima "missione", ovvero eseguire una scansione e riportare in elenco almeno 80 nuovi server RDP pubblicamente accessibili da sottoporre a tentativi di brute-force.

Fase 5 e 6: gli attaccanti assegnano quindi ad ogni bot un unico set di credenziali, costringendoli a tentare attacchi di brute-force contro destinazioni RDP che il sistema infetto riceve continuamente dal server C&C.

Fase 7: se un tentativo di brute-forcing va a buon fine, il bot iporta al server di comando e controllo le credenziali di login.

Al momento non è chiaro quanti siano, esattamente, i server RDP già compromessi e che stanno effettivamente partecipando ad ulteriori attacchi di brute-force come bot della rete. Sappiamo solo che una scansione veloce con Shodan rende ad oggi circa 2.4 milioni di server RDP Windows accessibili in Internet: di questi, molto probabilmente, almeno la metà ha già ricevuto un tentativo di brute-forcing.

1[1]

L'exploit kit RIG, vedovo di GandCrab, mette in distribuzione il nuovo ransomware Buran

Qualche tempo fa scrivemmo un articolo che dettagliava una delle accoppiate "vincenti" per il cyber crimine: l'unione cioè di exploit kit con i ransomware.

Per approfondire >> Exploit as a Service: perchè exploit kit e ransomware sono ormai coppia fissa

Parliamo, per capirsi, di cyber criminali spesso appartenenti a gruppi diversi che uniscono le proprie forze per diffondere malware e condividere i relativi guadagni: ecco quindi che chi affitta exploit kit come fosse un servizio, ricerca, per monetizzare la propia creazione, malware di vario genere da diffondere per guadagnare. Nella quasi totalità dei casi troviamo in diffusione trojan bancari o ransomware.

C'era da aspettarsi quindi di assistere, dopo l'annuncio di cessazione di attività di GandCrab, divenuto il ransomware di punta diffuso tramite diversi exploit kit, ad un generale riassestamento di tali "accordi" e collaborazioni.

L'exploit kit RIG
RIG più che essere un semplice exploit kit è una vera e propria piattaforma usata per diffondere malware di ogni genere. E' infatti un exploit kit in affitto, noleggiabile nel dark web. Va "nascosto" entro una pagina web: al momento in cui una vittima viene attratta, con svariate tecniche, sulla pagina compromessa, questo Exploit verifica le informazioni inviate dal computer al sito web (ad esempio sistema operativo o versione del browser" per selezionare l'exploit più efficace su quel target e installare il malware prescelto da remoto.

a[1]

Campagne di malspam contro utenti italiani: i dati di Maggio del CERT-PA

Qualche giorno fa, il CERT Pubblica Amministrazione, ha pubblicato i dati relativi al monitoraggio delle campagne di email di spam/dannose diffuse in Italia nel mese di Maggio 2019: sono tutte campagne per le quali il CERT_PA ha prodotto e condiviso gli indicatori di compromissione.

In termini generali, colpisce una altissima percentuale di eventi legati alla diffusione di malware di tipo ransomware, seguita da una vera e propria ondata di Trojan Bancari (che ha colpito anche nel settore privato) e da ampie campagne di spear phishing mirate principalmente al furto di credenziali istituzionali

Per quanto riguarda le campagne malware che riguardano sia strutture pubbliche che private, la situazione è in stallo da qualche mese: la maggior parte di queste campagne, che non accennano affatto ad arrestarsi, diffondono due malware pensati per il furto di credenziali bancari. Stiamo parlando dei trojan bancari Ursnif e Gootkit.

Tra i ransomware, protagonista assoluto è stato GandCrab, ma risale a qualche giorno fa l'annuncio, da parte dei suoi sviluppatori, della sospensione di ogni attività, dopo un ricavo complessivo (cioè per l'intera rete di affiliati) di oltre 2 miliardi di dollari.

Meno conosciuto, ma altrettanto pericoloso, è FormBook: se in passato questo malware era diffuso solo contro target ben precisi nell'arco di campagne mirate, di recente viene diffuso in maniera massiva, senza mirare a precisi obiettivi. Insomma è passato dall'essere uno spyware per lo spionaggio industriale ad un malware adatto ad ogni tipo di utenza. Formbook è un malware pericoloso, perché facilissimo da usare (non richiede grandi competenze di programmazione), ma ha funzionalità complete di spyware: registra tutto ciò che viene digitato sulla tastiera, ruba i dati dagli appunti, ruba le password salvate nei browser e nei client di posta elettronica ed esegue perfino screenshot dello schermo.

In merito a questi malware, è utile far notare un dettaglio importante che il CERT-PA ha ricostruito assieme al ricercatore indipendente JAMESWT_MHT: molte delle campagne di diffusione di Ursnif sono risultate "difettose", con malfunzionamenti o errori nei link contenuti nel corpo email oppure ancora con l'assenza, nell'allegato compromesso, dei payload necessari a compromettere il sistema. Una pistola senza proiettili, per intendersi. Ad esempio il 31 Maggio c'è stata una campagna di malspam per diffondere Ursnif nella quale l'allegato dannoso, da scaricare via link contenuto nel corpo email, non conteneva il file VBS necessario per l'infezione.

Il CERT-PA conclude il breve paper con alcuni dati di monitoraggio molto recenti, dal 20 al 30 Maggio 2019, mostrando un contesto interessante:
Ursnif è diffuso tutti i giorni della settimana, sempre con allegati XLS o VBS contenuti in archivi compromessi protetti da password, più raramente diffusi tramite link.
GootKit viene diffuso in coppia con Ursnif, ma la diffusione si concentra quasi esclusivamente in due giorni della settimana: Martedì e Mercoledì.
Il Giovedì, solitamente, Ursnif viene affiancato da altre tipologie di malware: Giovedì 23 Maggio era diffuso insieme a GandCrab e Formbook, Giovedì 30 invece assieme a Lokibot.
Questi dati indicano una precisa logica organizzativa, che ricorre ad un metodo di diffusione ricorsivo e standard di malware, con una chiara preferenza per i giorni feriali nella diffusione dei malware, a fine di massimizzazione del profitto.

a[1]

Il ransomware GandCrab va in pensione dopo un guadagno (dichiarato) di 2 miliardi di dollari

Dopo circa un anno e mezzo di attività, gli operatori che si celano dietro il famigerato ransomware GandCrab hanno annunciato lo stop delle operazioni e il blocco della distribuzione del ransomware alla rete dei propri affiliati.

GandCrab è divenuto la punta di diamante del mondo dei ransomware nel Gennaio 2018, colmando il vuoto lasciato da suoi "illustri" colleghi quali TeslaCrypt, CryptoWall, Spora Ransomware, che hanno tutti sospeso le proprie attività (chi per scelta degli attori, chi per la capacità dei ricercatori di sicurezza di forzarne il decrypt senza il pagamento del riscatto oppure ancora per attacchi coordinati di polizia e strutture di sicurezza informatica contro i loro server di comando e controllo).
Sono stati i ricercatori Damian e David Montenegro, attenti e profondi conoscitori di questo ransomware fin dai suoi primi esordi, ad annunciare alla comunità informatica del termine delle attività di GandCrab. La notizia è stata data direttamente dagli operatori del ransomware, tramite pubblicazione di una serie di post in alcuni forum di hacking, con i quali viene annunciata la sospensione delle attività.

Fonte: BleepingComputer.com

Come si può leggere, gli operatori di GandCran dichiarano di aver generato oltre 2 miliardi di pagamenti in riscatto, con una media settimanale di 2,5 milioni di dollari. Ribadiscono però di aver intascato per se soltanto 150 milioni di dollari, lasciando il resto alla rete degli affiliati e investendo le rimanenze in business legali per ripulire il guadagno. Avvisano anche di aver bloccato la promozione del ransomware e chiedono alla rete dei propri affiliati di sospendere la distribuzione del ransomware entro 20 giorni, ribadendo che entro la fine del mese verranno cancellate tutte le chiavi di decriptazione.

Per quanto riguarda le vittime invece, quel post è una vera e propria minaccia: le vittime infatti dovrebbero acquistare il tool di decriptazione, pagando il riscatto, entro la fine del mese, pena l'impossibilità definitiva di recupero dei file dal momento in cui le chiavi verranno cancellate.

In realtà questa notizia, in apparenza pessima per le vittime, potrebbe essere un colpo di fortuna: sono già diverse decine i casi di ransomware i cui sviluppatori hanno rilasciato le chiavi o la master key al momento della chiusura delle attività. La cattiva notizia invece è che è piuttosto ricorrente nel mondo delle cyber minacce, quando un malware che ha visto una distribuzione di vastissima scala come GandCrab cessa le attività, veder spuntare una nuova cyber minaccia altrettanto pericolosa che ne prende il posto.

2 miliardi di guadagno?
La cosa che più colpisce del post in oggetto è la dichiarazione degli operatori di aver distribuito note di riscatto per un ammontare di circa 2 miliardi di dollari: probabilmente questa informazione è falsa e non sarebbe la prima volta che gli sviluppatori di GandCrab mentono o si prendono gioco degli utenti. Per quanto il gruppo dietro GandCrab non sia (ancora) stato individuato, ha alcune caratteristiche che lo rendono piuttosto individuabile. La prima è appunto il ricorso frequente alla menzogna, la seconda è il ricorso frequente al dileggio dei ricercatori di sicurezza impegnati nel tentativo di scardinare la rete di distribuzione del ransomware, il terzo è la vendicatività.

Per fare un esempio dell'ultimo punto: qualche tempo fa i ricercatori di sicurezza di AhnLab avevano distribuito un app capace di decriptare gratuitamente il ransomware, salvando le vittime di alcune versioni di GandCrab dal ricatto del pagamento del riscatto. Pochissime ore dopo la pubblicazione del tool, il gruppo dietro GandCrab contattò i ricercatori di Bleeping Computer annunciando loro la pubblicazione, di li a pochi giorni, di una vulnerabilità zero day di livello critico dell'antivirus AhnLab V3 Lite: era già pronto l'exploit per produrre una totale sospensione del servizio.

Fonte: BleepingComputer.com

In conclusione
La sospensione delle attività di GandCrab e dell'intera sua rete di distribuzione (GandCrab è un RaaS, Ransomware as a Service) è sicuramente un'ottima notizia. Sono in corso, da parte di diversi operatori di sicurezza, contatti con gli anonimi gestori del servizio per scongiurare il rischio della cancellazione delle chiavi di criptazione, con conseguente definitiva impossibilità da parte delle vittime di poter recuperare i propri file. Non resta che sperare che tutto si concluda per il meglio e venga rilasciata la master key o le chiavi di decriptazione.

Data la grande quantità di casi di infezione da ransomware GandCrab (in svariati tipi di versione) che abbiamo in carico, aggiorneremo non appena ci saranno nuovi sviluppi.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy