1[1]

ALERT: il malware Agent Smith fa strage di smartphone Android

Siamo proprio sicuri che il WhatsAPP che stiamo usando in questo momento sul nostro smartphone Android sia quello vero? Siamo sicuri che stia realmente funzionando come ci aspetteremmo dal WhatsApp legittimo? E siamo sicuri che le altre app che eseguiamo sul nostro dispositivo “siano” esattamente quello che dicono di essere?

Sembrano domande di una persona un pò paranoica, ma le notizie che si sono susseguite per tutta la giornata di ieri rendono queste domande non solo verosimili, ma anzi, necessarie. E’ stato infatti individuato un malware molto particolare, che ha già colpito l’esorbitante numero di 25 milioni di dispositivi Android: si chiama Agent Smith (si, come l’agente Smith del famosissimo film Matrix) ed è pensato per intasare i dispositivi Android di pubblicità indesiderate.

Il problema è che Agent Smith è capace di un trasformismo notevole: è stato individuato, infatti, ben nascosto in app dall’apparenza del tutto innocente e legittima come app di photo editing, giochi ecc.. diffusi in app store di terze parti.

Qualche dettaglio tecnico
Il malware è contenuto appunto in app gratuite ed agisce in maniera veramente insidiosa e subdola: il codice principale del malware è criptato entro immagini JPEG. Una volta che viene installata l’app compromessa, Agent Smith viene estratto e eseguito sullo smartphone sfruttando alcune vulnerabilità già note di Android (per i più navigati, parliamo delle vulnerabilità Janus e Man-in-the-Disk): in dettaglio il codice dannoso viene iniettato nel file APK delle app bersaglio installate sul dispositivo compromesso. Le applicazioni così compromesse vengono reinstallate o aggiornate automaticamente senza l’interazione o la consapevolezza dell’utente. Ecco come un’app legittima diventa, senza che ce ne possiamo accorgere, qualcosa di diverso da quel che pensiamo sia l’app stessa.

Agent Smith, come detto, agisce in maniera molto subdola perché si camuffa anche da applicazione di Google e nasconde perfino l’icona in modo che la vittima ne perda completamente le tracce. Tra i nomi usati da Agent Smith troviamo “Google Updater” o “Google Update for U”.

A questo punto ad Agent Smith non resta che garantirsi la persistenza sul sistema, ovvero garantire che le app modificate dal suo codice non vengano né disinstallate né aggiornate. Per farlo usa due tecniche: la prima è monitorare costantemente la directory dedicata agli update, cancellando ogni file dovesse comparire al suo interno. La seconda tecnica consiste invece nel manomettere il sistema di gestione degli aggiornamenti, per far si che l’app compromessa non abbia scadenze di verifica degli update.

La campagna di diffusione
I primi dati indicano che il malware ha iniziato a diffondersi da un app store di terze parti molto conosciuto in India, 9Apps per poi diffondersi ad una velocità impressionante. I ricercatori hanno individuato ben 360 diverse varianti del dropper di Agent Smith già in diffusione. I dati telemetrici fino ad ora raccolti indicano che i 25 milioni di dispositivi Android compromessi conterrebbero addirittura 2,8 miliardi app “modificate”, in media 112 app compromesse a dispositivo.

Ancor più preoccupante è il fatto che Agent Smith, stamane, è stato trovato in diffusione anche in app legittime: già 11 app compromesse sono state individuate nel Google Play, lo store ufficiale di Google.

C’è infine un ulteriore rischio da tenere in considerazione: Agent Smith ha una struttura modulare, il che significa che è un malware composto da più moduli che eseguono diverse funzioni. I suoi sviluppatori e controllori quindi potrebbero aggiungervi infiniti moduli, aumentando a dismisura il tipo e la varietà di azioni dannose che questo malware può eseguire sui dispositivi infetti.

a[1]

sLoad colpisce ancora: in corso campagna di distribuzione via PEC contro privati e PA italiani

Ennesimo alert da parte del CERT-PA riguardante una nuova campagna di diffusione del malware sLoad. Questa campagna si propaga attraverso i canali PEC e bersaglia sia privati che la Pubblica Amministrazione.

Le due campagne precedenti
Ormai le campagne di diffusione di sLoad contro utenti italiani non sono affatto una novità. Appena qualche giorno fa ne sono state individuate due:

– una prima, sempre tramite il canale PEC, colpisce privati e professionisti.
Ne abbiamo parlato qui >> ALERT CERT-PA: due campagne in corso in Italia diffondono trojan

– una seconda invece, anch’essa tramite canale PEC, ha bersagliato in dettaglio l’Ordine degli Ingegneri di Roma. Rimandiamo al bollettino specifico diramato dal CERT-PA che dettaglia la campagna >> https://www.cert-pa.it/wp-content/uploads/2019/06/CERT-PA-B003-190610.pdf

La campagna attualmente in corso
Per quanto non sia chiaro se la campagna precedente, la prima alla quale facciamo riferimento nel paragrafo precedente, sia terminata o ancora in corso, ciò che è certo è che la campagna attuale, individuata nella nottata di ieri, è in corso ed è una terza variante, con leggere differenze rispetto alle precedenti.

La catena di infezione inizia con la solita email ingannevole, con allegato un archivio .ZIP contenente il payload altamente offuscato del malware.

Fonte: https://www.cert-pa.it

L’oggetto dell’email è del tipo “Avviso di addebito n.XXXXXXXXXXX – Gestione aziende con lavoratori dipendenti”.

Il testo avente sfondo blu nasconde un link al seguente URL:
https://kylemcshane.com/certificato/xqkka-ttbp7h0-DESTINATARIO_IN_BASE64-zb6hi-zv17hdx-rvuc4/Mzk0MjY0ODMzNjgy
e già questo indirizzo reca in sé alcune informazioni sulla vittima. L’indirizzo email della vittima è infatti inserito nell’URL stesso, ma codificato in Base64. Questo e anche il numero di addebito (ripetuto in oggetto e corpo email) potrebbero essere tecniche tramite le quali gli attaccanti tengono traccia delle vittime.

“Il messaggio fa riferimento a presunte verifiche rispetto la posizione contributiva della vittima: un tema importante e delicato, col quale è piuttosto facile catturare l’attenzione della vittima. Una tecnica comune di ingegneria sociale, pensata appositamente per indurre il destinatario a cliccare su un link o ad aprire un allegato” spiega Alessandro Papini, esperto di sicurezza IT e Presidente di Accademia Italiana Privacy “Tale modalità di truffa vede incrementare enormemente le possibilità di successo tanto più è credibile il mittente dell’email: è chiaro che sfruttare il sistema di comunicazione certificata PEC va in questa direzione. Anche il linguaggio apparentemente molto tecnico è una spinta nella direzione di legittimate il messaggio in sé.”

“In questi casi” prosegue Papini “oltre a una solida soluzione antivirus è la consapevolezza e la capacità dell’utente di agire con prudenza che fanno la differenza. Formare il personale rispetto alle minacce informatiche che possono circolare via email, fornendo anche riferimenti utili per distinguere una email fake da una comunicazione legittima, può davvero fare la differenza”.

Per gli indicatori di compromissione rimandiamo direttamente all’alert del CERT-PA

sLoad: qualche info in più
sLoad è un malware che si distingue per le particolari tecniche di offuscamento del codice dannoso. Tra le prime informazioni che raccoglie subito dopo l’avvio ci sono tutte le informazioni relative alla macchina infettata (dall’architettura fino al codice UUID, un identificativo univoco universale). Subito dopo pianifica nel tempo il download del codice aggiuntivo necessario al suo funzionamento basilare e per ampliare le funzioni di cui può disporre. Tra le funzioni principali ne troviamo due:
sLoad funge da backdoor sulla macchina infetta. Può essere usato, anche a distanza di molto tempo dall’infezione, per distribuire ulteriori malware nelle macchine già colpite;
sLoad funge da keylogger, ovvero colleziona le battiture sulla tastiera e gli input che arrivano nelle macchine infette;
sLoad ha anche funzioni per il furto periodico di screenshot e di informazioni dal sistema infetto.

1+28129[1]

ALERT CERT-PA: due campagne in corso in Italia diffondono trojan

Il CERT-PA ha pubblicato due alert riguardanti altrettante campagne di diffusione di trojan rivolte esclusivamente contro utenti italiani.

Si tratta, in entrambi i casi, di campagne di email di spam che contengono archivi dannosi contenenti, a loro volta, due diversi malware: Gootkit, che è una vecchia conoscenza, e sLoad. Vediamo nel dettaglio le due campagne, ricordando e ribadendo quanto sia importante essere prudenti (e sfruttare una sandbox) quando si ricevono email inaspettate contenenti link o allegati.

1. La campagna spam diffonde Gootkit
Questa campagna è caratterizzata da email di spam in lingua italiana indirizzate principalmente alla Pubblica Amministrazione, aventi come oggetto “Internal Error” e contenenti un link che rimanda ad un file ZIP.

Fonte: https://www.cert-pa.it/

Il file ZIP che viene scaricato cliccando sul link contenuto nel messaggio si presenta di volta in volta con nome differente, ma ha una ricorrenza: l’uso del termine “Fattura” seguito da una serie di numeri. L’archivio contiene in realtà un file VBS che, una volta eseguito, esegue un PowerShell tramite il quale scaricare JasperLoader. Questo malware altro non è che un Remote Access Trojan che viene usato per diffondere il trojan bancario Gootikit.

Per gli indicatori di compromissione rimandiamo al link originale di CERT-PA.

2. La campagna spam diffonde sLoad via PEC
Questa campagna di malspam è stata individuata stanotte ed è rivolta contro aziende e professionisti: sfrutta il canale di comunicazione PEC per diffondere malware.

I mittenti appaiono essere un numero limitato, comunque account email compromessi in precedenza forse proprio per avviare la campagna di malspam. L’email è scritta in lingua italiana, fa riferimento in più parti alla possibilità di verificare la legittimità del messaggio e del mittente stesso e c’è pure un richiamo legale al principio di riservatezza. Si invita infine a consultare il sito dell’Agenzia per l’Italia Digitale per verificare la firma digitale: tutte tecniche di ingegneria sociale usate per convincere il destinatario della veridicità e attendibilità del messaggio e della fonte.

L’allegato contiene due file:
comunicazione clientela.pdf
comunicazione clientela.vbs

Fonte: https://www.cert-pa.it

L’apertura del file PDF restituisce un errore nel quale si specifica che non è possibile aprire il documento. L’utente è così indotto ad aprire il file VBS: all’apertura del file VBS segue la corretta visualizzazione del file PDF.

Fonte: https://www.cert-pa.it

Mentre l’utente è distratto dalla lettura del PDF, il file VBS esegue codice dannoso tramite PowerShell e scarica sLoad. Una volta che sLoad è nel sistema, si mette in attesa di istruzioni dal proprio server C&C. sLoad è una backdoor capace di funzionare anche da keylogger e che consente l’installazione di ulteriori malware sul sistema infetto.

Per gli indicatori di compromissione rimandiamo al link originale di CERT-PA

a[1]

Città criptate: quando i ransomware bloccano le città

L’ammontare medio dei riscatti richiesti dopo un attacco ransomware è quasi raddoppiato nel secondo trimestre di quest’anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi.

Di questi due malware abbiamo parlato abbondantemente: hanno registrato un consistente incremento dell’attività e bersagliano sia target privati che organizzazioni pubbliche. E’ ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali.

Il duopolio di Ryuk e Sodinokibi
Coveware, azienda che si occupa di gestione attacchi ransomware, ha pubblicato due giorni fa dati piuttosto eloquenti: nel secondo trimestre del 2019 l’ammontare medio del pagamento di un riscatto ha subito un boom del 184%, finendo attorno ai 36.000 dollari. Nel trimestre precedente la media si fermava a 12.700.

“I dati non fanno altro che riflettere e ribadire il duopolio dei ransomware Ryuk e Sodinokibi, il nuovo duopolio del mercato dei ransomware che si è “instaurato” dopo la cessazione di attività di GandCrab” commenta Alessandro Papini, Presidente di Accademia Italiana Privacy e esperto di sicurezza IT “I dati di Coveware sono interessanti anche da un altro punto di vista, che ribadisce quanto i rischi conseguenti ad un attacco ransomware non siano solo legati ai dati illeggibili: il tempo di fermo conseguente ad un attacco di questo tipo, ovvero il periodo nel quale un’azienda non può riprendere le normali operazioni di business a causa del down dei sistemi, è aumentato da 7 a quasi 10 giorni. Immaginate quindi il danno economico e reputazionale di un’azienda che rimane ferma, bloccata, per 10 giorni”.

L’attacco di Sodinokibi contro gli MSP
La causa principale di questo cambiamento, e questa è opinione diffusa nel mondo dei ricercatori di sicurezza, è da vedersi nell’attacco che Sodinokibi ha portato contro tre Manged Service Provider (MSP): i MSP sono soggetti che forniscono servizi online di vario genere attraverso un sistema di abbonamenti. Gli autori del ransomware hanno usato tali servizi, che ovviamente hanno funzionalità di controllo da remoto sulle infrastrutture dei clienti, per diffondere il Sodinokibi.

Per approfondire >> Sodinokibi: attacchi contro i Managed Service Provider per diffondere il ransomware

Ryuk è invece quel malware che si sta contraddistinguendo ormai da due mesi perchè ha colpito e compromesso le reti di alcune amministrazioni pubbliche negli Stati Uniti, raccogliendo riscatti di grande entità da enti incapaci di risolvere l’infezione e ripristinare velocemente i servizi.

Per approfondire >> Città e università criptate: come un virus può paralizzare intere istituzioni

“E’ dovuto specificare un passaggio importante del report di Coveware” continua Papini “le vittime di questi due ransomware sono soltanto il 3.4% di tutte le vittime di ransomware di questi ultimi tre mesi: un target piuttosto ridotto. Eppure l’incremento dei riscatto ottenuti è preoccupante. Questa è una indicazione non di poco conto: i ransomware “di punta” abbandonano la diffusione di massa per colpire pochi target specifici, dai quali è però possibile estorcere maggiori somme. Meno attacchi ma più mirati e devastanti per più guadagno”.

La maggior parte delle aziende cede al ricatto
Infine Coveware registra incontrovertibilmente come ad oggi le aziende non siano pronte né in grado di fronteggiare attacchi ransomware. Il report indica che il 96% delle aziende colpite da attacchi ransomware ha ceduto al ricatto dei cyber attaccanti e ha pagato il riscatto sperando di ottenere il tool di decriptazione. Su questo “il servizio” offerto da Ryuk e Sodinokibi è molto “efficiente”: in entrambi i casi i cyber attaccanti decriptano gratuitamente un file alla vittima, così da provare l’efficacia del tool. Una volta pagato il riscatto, nel caso di Ryuk la vittima ottiene il decryptor entro due – tre ore dal pagamento, mentre Sodinokibi ha addirittura un sito web TOR automatizzato che consente il pagamento e la ricezione automatica del tool.

Il problema di questo modo di affrontare un attacco ransomware, sconsigliato sia dai ricercatori che dalle forze dell’ordine, è che si incoraggia e incrementa il modello di business dei malware: gli attacchi possono quindi farsi più frequenti.

1_(1)[1]

I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto

L’ammontare medio dei riscatti richiesti dopo un attacco ransomware è quasi raddoppiato nel secondo trimestre di quest’anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi.

Di questi due malware abbiamo parlato abbondantemente: hanno registrato un consistente incremento dell’attività e bersagliano sia target privati che organizzazioni pubbliche. E’ ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali.

Il duopolio di Ryuk e Sodinokibi
Coveware, azienda che si occupa di gestione attacchi ransomware, ha pubblicato due giorni fa dati piuttosto eloquenti: nel secondo trimestre del 2019 l’ammontare medio del pagamento di un riscatto ha subito un boom del 184%, finendo attorno ai 36.000 dollari. Nel trimestre precedente la media si fermava a 12.700.

“I dati non fanno altro che riflettere e ribadire il duopolio dei ransomware Ryuk e Sodinokibi, il nuovo duopolio del mercato dei ransomware che si è “instaurato” dopo la cessazione di attività di GandCrab” commenta Alessandro Papini, Presidente di Accademia Italiana Privacy e esperto di sicurezza IT “I dati di Coveware sono interessanti anche da un altro punto di vista, che ribadisce quanto i rischi conseguenti ad un attacco ransomware non siano solo legati ai dati illeggibili: il tempo di fermo conseguente ad un attacco di questo tipo, ovvero il periodo nel quale un’azienda non può riprendere le normali operazioni di business a causa del down dei sistemi, è aumentato da 7 a quasi 10 giorni. Immaginate quindi il danno economico e reputazionale di un’azienda che rimane ferma, bloccata, per 10 giorni”.

L’attacco di Sodinokibi contro gli MSP
La causa principale di questo cambiamento, e questa è opinione diffusa nel mondo dei ricercatori di sicurezza, è da vedersi nell’attacco che Sodinokibi ha portato contro tre Manged Service Provider (MSP): i MSP sono soggetti che forniscono servizi online di vario genere attraverso un sistema di abbonamenti. Gli autori del ransomware hanno usato tali servizi, che ovviamente hanno funzionalità di controllo da remoto sulle infrastrutture dei clienti, per diffondere il Sodinokibi.

Per approfondire >> Sodinokibi: attacchi contro i Managed Service Provider per diffondere il ransomware

Ryuk è invece quel malware che si sta contraddistinguendo ormai da due mesi perchè ha colpito e compromesso le reti di alcune amministrazioni pubbliche negli Stati Uniti, raccogliendo riscatti di grande entità da enti incapaci di risolvere l’infezione e ripristinare velocemente i servizi.

Per approfondire >> Città e università criptate: come un virus può paralizzare intere istituzioni

“E’ dovuto specificare un passaggio importante del report di Coveware” continua Papini “le vittime di questi due ransomware sono soltanto il 3.4% di tutte le vittime di ransomware di questi ultimi tre mesi: un target piuttosto ridotto. Eppure l’incremento dei riscatto ottenuti è preoccupante. Questa è una indicazione non di poco conto: i ransomware “di punta” abbandonano la diffusione di massa per colpire pochi target specifici, dai quali è però possibile estorcere maggiori somme. Meno attacchi ma più mirati e devastanti per più guadagno”.

La maggior parte delle aziende cede al ricatto
Infine Coveware registra incontrovertibilmente come ad oggi le aziende non siano pronte né in grado di fronteggiare attacchi ransomware. Il report indica che il 96% delle aziende colpite da attacchi ransomware ha ceduto al ricatto dei cyber attaccanti e ha pagato il riscatto sperando di ottenere il tool di decriptazione. Su questo “il servizio” offerto da Ryuk e Sodinokibi è molto “efficiente”: in entrambi i casi i cyber attaccanti decriptano gratuitamente un file alla vittima, così da provare l’efficacia del tool. Una volta pagato il riscatto, nel caso di Ryuk la vittima ottiene il decryptor entro due – tre ore dal pagamento, mentre Sodinokibi ha addirittura un sito web TOR automatizzato che consente il pagamento e la ricezione automatica del tool.

Il problema di questo modo di affrontare un attacco ransomware, sconsigliato sia dai ricercatori che dalle forze dell’ordine, è che si incoraggia e incrementa il modello di business dei malware: gli attacchi possono quindi farsi più frequenti.

1[1]

Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!

E’ stata individuata una nuova famiglia di ransomware che mira specificatamente i NAS (Network Attached Storage) prodotti dalla QNAP System, azienda con sede in Taiwan. I NAS QNAP, basati su Linux, ottimali per home user e piccole imprese, sono unità di archiviazione dati collegate alla rete o tramite Internet: consentono agli utenti di archiviare e condividere i propri dati e backup con più computer.

QNAPCrypt: come infetta i NAS QNAP
Il nuovo ransomware, scritto in linguaggio GO e soprannominato eCh0raix o QNAPCrypt, è già usato in attacchi reali per infettare e criptare i dati contenuti nei QNAP. I metodi di infezione individuati per adesso sono due:
il brute-forcing di NAS QNAP con credenziali deboli;
l’exploit di vulnerabilità già conosciute che affliggono svariate versioni dei NAS QNAP tra le quali QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II e QNAP TS 253B.
Le prime analisi indicano che QNAPCrypt viene usato in attacchi mirati che prevedono l’uso di una chiave pubblica codificata nel codice stesso del malware, compilata per il target specifico con una chiave univoca.

Le comunicazioni col Server di comando e controllo
Altra particolarità notata dai ricercatori è che, nonostante i server di comando e controllo di QNAPCrypt si trovino su TOR, il ransomware non contiene alcun client per connettersi a Tor: gli autori del ransomware hanno invece creato un proxy SOCKS5 al quale il ransomware si connette per le comunicazioni C&C.

QNAPCrypt si connette al proxy SOCKS5
Una volta connesso al server C&C, il ransomware scaricherà la nota di riscatto, la chiave pubblica RSA usata per la criptazione della chiave (che viene a sua volta usata per criptare i file delle vittime) e invierà agli attaccanti, in tempo reale, informazioni sull’attività del malware. Il monitoraggio di queste attività di rete non ha però portato all’individuazione di informazioni sui sistemi infetti, quindi è ad ora poco chiaro quali informazioni consentano agli attaccanti di distinguere le varie vittime di QNAPCrypt.

Pare però che gli attori dietro questo ransomware abbiano creato una API che può essere usata per richiedere una serie di informazioni: ad esempio è stato osservato come QNAPCrypt si colleghi ad un URL specifico per recuperare una chiave di criptazione pubblica che si basa sull’ID della specifica campagna. Ad ora non abbiamo però strumenti per poter affermare che questi ID siano associati alla campagna stessa oppure ai singoli affiliati alla rete di distribuzione del ransomware.

Come cripta i file
Una volta eseguito sul NAS, QNAPCrypt eseguirà una verifica della lingua impostata sul sistema, per verificare se il NAS target si trovi o meno nei paesi CIS, la Comunità degli Stati Indipendenti, un’organizzazione internazionale composta da nove delle quindici ex repubbliche sovietiche, cui si aggiunge il Turkmenistan come membro associato. Se il target si trova in un paese CIS, i file non verranno criptati.

Dopo questa prima verifica il ransomware cercherà e terminerà i seguenti processi usando i comandi “service stop %s” o “systemctl stop %s”:
apache2
httpd
nginx
mysqld
mysqd
php-fpm
Questo ransomware cripta una grandissima varietà di tipologie di file, ma, durante la ricerca dei file da criptare sul NAS bersaglio, non cripterà quei file che si trovano in percorsi che includono le seguenti stringhe:
/proc
/boot/
/sys/
/run/
/dev/
/etc/
/home/httpd
/mnt/ext/opt
.system/thumbnail
.system/opt
.config
.qpkg.
Dato che la quasi totalità dei NAS QNAP non dispone di alcuna soluzione anti malware, QNAPCrypt ha libertà quasi assoluta nella criptazione dei file sui sistemi compromessi. Eseguire una soluzione anti malware sul NAS però non porta a grandi differenze: il tasso di rilevamento da parte delle soluzioni antivirus, stando ai dati di VirusTotal, è comunque bassissimo. Al momento della scrittura di questo approfondimento, sono solo 13 su 53 i motori di scansione malware che riescono a individuarlo come dannoso.

I file criptati da questo ransomware sono riconoscibile dal fatto che, pur rimanendo invariato il nome file, QNAPCrypt aggiunge l’estensione .encrypt al file criptato.

Esempi di file criptati

La nota di riscatto
La nota di riscatto viene creata già durante l’attività di scansione e ricerca dei file da criptare: la nota di riscatto, rinominata “README_FOR_DECRYPT.txt”, verrà copiata in ogni cartella contenente file criptati. Il testo contiene il link ad un sito Tor, un indirizzo Bitcoin Associato e la chiave di criptazione privata della vittima. Ad ora l’ammontare del riscatto oscilla tra gli 0.05 e gli 0.06 Bitcoin.

Disponibile la soluzione
“L’analisi di questo ransomware è stata molto complessa” spiegano Alessandro Papini, esperto di sicurezza IT e Andrea Bettoni, CEO del network s-mart “abbiamo provveduto, col nostro team di esperti, a studiare il meccanismo di infezione e criptazione perchè abbiamo già ricevuto molteplici segnalazioni di infezione da parte di alcuni nostri clienti, segno che QNAPCrypt, per quanto ‘giovane’ sta già circolando in Europa e in Italia. Siamo quindi riusciti ad approntare un tool per la decriptazione dei file, che consentirà alle vittime di rientrare in possesso dei propri file senza cedere al ricatto dei cyber criminali. Anche perchè, per adesso, non ci sono precedenti che dimostrino che al pagamento del riscatto segua davvero l’invio del tool di decriptazione alla vittima”.

Chi ha subito questa infezione può inviarci due file criptati e la nota di riscatto all’email alessandro@nwkcloud.com. I nostri tecnici eseguiranno una verifica dei file criptati e appronteranno lo specifico tool tenendo di conto della chiave unica privata della vittima stessa.

Per ulteriori informazioni sul nostro servizio di risoluzione ransomware vedi qui >> http://www.decryptolocker.it/

a+28129[1]

Microsoft individua una campagna di distribuzione fileless del trojan Astaroth

Martedì 9 luglio 2019

Il team di Ricerca di Microsoft Defender ha individuato una campagna di distribuzione fileless del trojan per il furto di informazioni Astaroth. Astaroth è un trojan specializzato nel furto di informazioni che mira, ovviamente, ai dati più sensibili come le credenziali degli utenti usando un modulo keylogger, uno per il furto di screenshot e uno per l’intercettazione dei processi in esecuzione nel sistema operativo.

Questo trojan è conosciuto per l’abuso di tecniche LOLBins (Living off the land binaries): rientrano in questa definizione quelle tecniche di attacco che sfruttano i processi già presenti sulsistema. Tale tipologia di attacco presenta infatti un grande vantaggio: sfruttando processi già esistenti e legittimi, entro i quali nascondere le attività dannose, si riduce il rischio di individuazione da parte degli antivirus, dato che gli AV riterranno per forza “buoni” tali processi.

Astaroth in dettaglio sfrutta l’interfaccia della linea di comando di Windows Management Instrumentation Command-line (Wmic.exe) per scaricare e installare completamente di nascosto i payload del malware in background.

La campagna in corso: qualche dettaglio tecnico
La campagna malware individuata dal Microsoft Defender ATP Research Team usa svariate tecniche fileless e un flusso di infezione multi-stage, cioè in più stadi. Tutto inizia con una email di spear-phishing contenente un link dannoso che reindirizza la potenziale vittima verso un file .LNK.

Il doppio click sul file LNK comporta l’esecuzione del tool WMIC di cui parlavamo sopra: esso si esegue col parametro “/Format” e ciò consente il download e l’esecuzione di codice JavaScript. E’ tale codice il responsabile del download dei payload di Atsaroth, tramite l’uso del tool Bitsadmin.

I payload di Astaroth e gli stage di infezione
I Payload dannosi che vengono scaricati in background sono tutti codificati in Base64 e vengono decriptati sul sistema compromesso usando il tool legittimo Certutil: i payload sono 4 DLL caricate con l’uso del tool Regsvr32.

Il 1° file DLL caricherà in memoria un secondo file DLL che ne caricherà di riflesso un terzo, anch’esso progettato per decriptare e iniettare una 4° DLL in Userinit. La quarta libreria DLL funge da proxy per caricare una 5° DLL in memoria. L’immagine sotto mostra il complesso schema di infezione multi stage

Fonte: Microsoft Defender ATP Research Team

Il vero payalod del trojan infostealer Atsaroth è la 5° DLL, il cui scopo è il furto e l’esfiltrazione di vari tipi di informazioni sensibili che vengono raccolte dal sistema della vittima e inviate ad una serie di server di comando e controllo gestiti dagli attaccanti.

“E’ interessante notare” spiega Alessandro Papini, esperto di sicurezza IT e presidente di Accademia Italiana Privacy “come durante l’intera catena di infezione non venga mai eseguito alcun file che non sia uno strumento di sistema. E’ la cosiddetta tecnica “Living off the land”: gli attaccanti usano solo strumenti legittimi già presenti nel sistema bersaglio per mascherare il loro attacco da “attività regolare”. Questo è un tipo di attacco molto molto insidioso che, a quanto pare, è diretto verso le aziende, così almeno suggerisce l’uso di email di spear phishing come momento di inizio della catena di infezione”.

La buona notizia
Nonostante questo tipo di catena di infezione sia molto molto preoccupante, c’è un risvolto positivo della medaglia. Il bollettino diramato da Microsoft specifica come le funzioni di protezione di Microsoft Defender ATP siano riuscite a individuare e bloccare l’infezione. I ricercatori del Team Microsoft hanno spiegato, nelle conclusioni, che se “da una parte l’uso di tecniche fileless riduce il rischio di individuazione di un attacco, al contrario il loro abuso aumenta il rischio di individuazione: l’uso di tecniche fileless eccessivamente inusuali o anomale ottiene infatti l’effetto contrario, ovvero quello di attirare immediatamente l’attenzione delle soluzioni di sicurezza sul malware. “

a[1]

Sodinokibi: la saga continua. Adesso sfrutta anche un bug di Windows per ottenere i privilegi di amministrazione

Giovedì 4 luglio 2019

Torniamo, di nuovo, a parlare di Sodinokibi: non possiamo fare altrimenti non solo perché Sodinokibi è già stato diffuso a più riprese in Italia, ma anche perché sta dimostrando un’ incredibile prolificità di miglioramenti, affinamenti e nuove tecniche di diffusione. Se già nelle prime settimane dalla sua comparsa alcuni ricercatori di sicurezza lo hanno definito come il miglior concorrente per “rubare” il posto lasciato vuoto da GandCrab nella Top10 dei ransomware, a distanza di un mese dalla sua comparsa sulle scene non possiamo che confermare tale giudizio.

Meno di due giorni fa alcuni campioni di Sodinokibi sono stati individuati e analizzati su alcune macchine infette: l’analisi ha permesso di mostrare questo nuovo metodo di attacco, ovvero l’exploit di una vulnerabilità nella componente Win32k. Tale vulnerabilità è presente nei sistemi Windows dal 7 al 10 e in tutte le edizioni server.

La vulnerabilità che viene sfruttata dal nuovo exploit implementato in Sodinokibi è la CVE-2018-8453 ed anche questa, come succede spessissimo, è stata già risolta qualche mese fa da Microsoft: la patch è stata pubblicata nell’Ottobre 2018. E’ evidente come ormai Sodinokibi stia cercando di raggiungere una diffusione di livello planetario.

Kaspersky ha recentemente pubblicato i dati telemetrici riguardanti questo ransomware e i dati sono piuttosto preoccupanti, se teniamo di conto il fatto che Sodinokibi è un ransomware molto molto giovane. La maggior parte delle infezioni riguardano l’Asia: taiwan al 17.56%, Hong Kong e Corea del Sud (8.78%). Altre infezioni sono state registrate in Giappone (8%), Germania (8.5%), Italia (5.10%), Spagna (4.8 %) e Stati Uniti (2%).

Fonte: Kaspersky

La nuova versione di Sodinokibi contiene, in forma criptata, un blocco di configurazione contenente le impostazioni e i dati necessari affinché il ransomware stesso funzioni. Il codice di configurazione contiene i campi necessari per la chiave pubblica, per il numero ID per la campagna e per il distributore, per la sovrascrittura dei dati, ma anche l’elenco delle estensioni file che non devono essere criptate, i nomi dei processi da terminare sulla macchina bersaglio, gli indirizzi dei server di comando e controllo, il template della nota di riscatto e infine i dettagli per l’uso dell’exploit necessario al privilege escalation.

Come cripta i file?
La nuova versione usa uno schema di criptazione ibrido per la criptazione dei file: significa che Sodinokibi usa un algoritmo simmetrico per i file (Salsa20) e una criptazione asimmetrica a curva ellittica per le chiavi. Il ransomware quindi salva nel registro sia la chiave pubblica(usata per criptare i dati) sia quella privata (necessaria per la decriptazione).

La chiave pubblica viene salvata con nome pk_key, la chiave privata invece viene criptata usando l’algoritmo ECIES e salvata nel registro al nome sk_key. Un’altra particolarità è che la chiave privata viene criptata con una seconda chiave pubblica, codificata direttamente nel malware: il risultato viene anch’esso salvato nel registro.

“Il perché di un meccanismo così complesso di criptazione delle chiavi, rarissimo nel mondo del ransomware, è difficile da comprendere” spiega Alessandro Papini, esperto di sicurezza IT e presidente di Accademia Italiana Privacy “molto probabilmente gli autori del ransomware vogliono così assicurarsi di poter decriptare i dati anche nel caso in cui il distributore del malware per quella campagna dovesse scomparire. Questo dato fornisce una precisa indicazione: Sodinokibi è già un ransomware as a service (RaaS), uno di quei ransomware che viene messo in affitto nel Dark Web dai suoi sviluppatori, che ne ottengono un guadagno diretto richiedendo una percentuale del riscatto riscossa dai vari, anonimi, distributori”.

Ricordiamo che Sodinokibi aggiunge ai file criptati un’estensione random che è differente per ogni PC che viene colpito. Entrambe le chiavi di criptazione e l’estensione random devono essere inserite nel sito web approntato dai cyber criminali appositamente per mostrare alle vittime a quanto ammonta il riscatto per ottenere di nuovo in chiaro i file.

Ad oggi non esiste un metodo gratuito di decriptare i file.

1[1]

ALERT del CERT-PA: in diffusione in Italia variante di Ursnif

Mercoledì 10 luglio 2019

Il CERT-PA ha pubblicato nella giornata di ieri l’ennesimo alert riguardante una nuova campagna di diffusione del trojan bancario Ursnif.

Per approfondire > Ursnif, il malware che minaccia l’Italia: vediamolo da vicino

Il dropper di Ursnif è in diffusione in questi giorni tramite una campagna di email di spam riguardanti finte fatture da pagare. Le email sono scritte in italiano e i mittenti sono piuttosto credibili. Sono state usate, per i mittenti, classiche tecniche di spoofing, ovvero di falsificazione dell’identità: questo e l’uso di una banale tecnica di ingegneria sociale (il sollecito del pagamento di una fattura scoperta) rendono piuttosto alto il potenziale di successo della truffa.

Fonte: https://www.cert-pa.it/

L’email ha come allegato un documento dannoso, denominato “Allegato Documento 420 FATT. PAGANO.xls”, che altro non è che un foglio di calcolo Excel che richiede l’abilitazione di una macro, secondo lo schema classico di infezione di Ursnif. L’esecuzione della macro avvia la catena di infezione, che richiede più step e più payload per arrivare al download ed esecuzione finale del malware Ursnif.

Vi sono due particolarità, che il CERT-PA sottolinea rispetto a questa campagna:

la macro, che altro non è che uno script VBA, infetta la macchina bersaglio solo se il mese corrente contiene due volte la lettera “L”. Questa campagna è quindi pensata per il solo mese di Luglio;
rispetto a versioni precedenti di Ursnif, il file scaricato dal dropper viene decriptato con un algoritmo più complesso;

Il payload finale è sempre una libreria DLL contenente Ursnif e tutti i parametri utili al suo funzionamento: il CERT-PA consiglia la visualizzazione di questa analisi automatica del malware.

I Server di C&C di Ursnif “offendono” i ricercatori
Il CERT-PA fa sapere che gli autori del malware hanno approntato un piccolo messaggio di benvenuto che accoglie chi tenti di accedere ai server di comando e controllo di Ursnif. Il form di autenticazione contiene un esplicito “FUCK OFF”:

Fonte: https://www.cert-pa.it/

“Il ‘messaggio di benvenuto’ che i cyber attaccanti hanno riservato ai ricercatori può, in apparenza, sembrare solo una nota di colore.. quello che chiameremo un joke, uno scherzo. In realtà è un dato che ci segnala qualcosa di ben più importante: i cyber criminali si sono fatti più furbi e, rispetto alle precedenti campagne cicliche di distribuzione di Ursnif in Italia, potrebbero aver aumentato le difese dei propri server di comando e controllo” commenta Alessandro Papini, esperto di sicurezza IT “Uno scenario verosimile, dato che negli scorsi mesi sono stati molteplici i tentativi “esterni” da parte di ricercatori e anche di autorità di Polizia Postale di bucare i server e “mettere offline” Urnsif rendendolo inoffensivo”.

1[1]

Trickbot evolve ancora: aggiunto un nuovo modulo per il furto dei cookie

mercoledì 3 luglio 2019

Trickbot evolve ancora: aggiunto un nuovo modulo per il furto dei cookie

Il trojan Trickbot è una vecchia conoscenza: conosciuto anche come Trickster o TheTrick, ha debuttato sulle scene dal cyber crime esclusivamente come trojan bancario, ma è stato aggiornato continuamente con nuove funzioni, moduli e tecniche di offuscamento sempre più complesse. Inizialmente aveva solo funzionalità da trojan bancario “classico”, ovvero la capacità di estrapolare dalla macchina infetta quante più informazioni finanziarie possibili. Recentemente ha “mutato pelle”, diventando anche un malware dropper, capace cioè di scaricare sulle macchine compromesse anche altre famiglie di ransomware.

L’ultima evoluzione è stata individuata ieri: si tratta di un nuovo modulo, chiamato Cookie Grabber, il cui scopo è quello di rubare i cookie (piccoli file di testo che i siti web salvano nel browser per varie finalità, come ricordare lo stato di login, le preferenze, i contenuti personalizzati o per tracciare l’attività di navigazione degli utenti).
Il nuovo modulo è stato individuato dal ricercatore di sicurezza Brad Duncan durante l’analisi di una nuova campagna di distribuzione di Trickbot iniziata il 1° Luglio: la sua attenzione è stata catturata dalla distribuzione di un file chiamato “cookiesDLL64”.

Credits: Brad Duncan

E’ stato Duncan stesso a pubblicare un breve articolo con i dettagli del traffico generato da questo nuovo modulo di Trickbot su un host infetto con sistema operativo Windows. Tale modulo è molto particolare perchè è un add-on separato per il malware.

Fonte: Bleepingcomputer.com

Andando in dettaglio, il modulo (la cui “build date” è il 27 Giugno) prende di mira i database di storage dei cookie di tutti i maggiori e più diffusi browser: Chrome, Firefox, Internet Explorer e Microsoft Edge. Va detto che anche in precedenza TrickBot mostrava capacità di furto dei cookie, ma mai come modulo a sé stante, con un proprio file di configurazione. Ciò significa che una volta che un host è stato infettato con il trojan TrickBot, l’attaccante può gestire Cookie Grabber indipendentemente da altre funzioni di furto informazioni e dati di cui TrickBot è dotato.

“La vera domanda è perché gli attori dietro TrickBot abbiano sentito la necessità di approntare un modulo a sé stante che miri specificatamente ai cookie” afferma Alessandro Papini, presidente di Accademia Italiana Privacy ed esperto di sicurezza IT “Probabilmente si mira a raccogliere dati per profilare più dettagliatamente le vittime: se ciò è vero, dobbiamo aspettarci in un futuro piuttosto prossimo, campagne di diffusione molto più mirate ed insidiose sia di TrickBot che di altri malware in uso agli stessi attori”.
Pubblicato da s-mart Informa a 16:03
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy