Sodinokibi: la saga continua. Adesso sfrutta anche un bug di Windows per ottenere i privilegi di amministrazione

Giovedì 4 luglio 2019

Torniamo, di nuovo, a parlare di Sodinokibi: non possiamo fare altrimenti non solo perché Sodinokibi è già stato diffuso a più riprese in Italia, ma anche perché sta dimostrando un' incredibile prolificità di miglioramenti, affinamenti e nuove tecniche di diffusione. Se già nelle prime settimane dalla sua comparsa alcuni ricercatori di sicurezza lo hanno definito come il miglior concorrente per "rubare" il posto lasciato vuoto da GandCrab nella Top10 dei ransomware, a distanza di un mese dalla sua comparsa sulle scene non possiamo che confermare tale giudizio.

Meno di due giorni fa alcuni campioni di Sodinokibi sono stati individuati e analizzati su alcune macchine infette: l'analisi ha permesso di mostrare questo nuovo metodo di attacco, ovvero l'exploit di una vulnerabilità nella componente Win32k. Tale vulnerabilità è presente nei sistemi Windows dal 7 al 10 e in tutte le edizioni server.

La vulnerabilità che viene sfruttata dal nuovo exploit implementato in Sodinokibi è la CVE-2018-8453 ed anche questa, come succede spessissimo, è stata già risolta qualche mese fa da Microsoft: la patch è stata pubblicata nell'Ottobre 2018. E' evidente come ormai Sodinokibi stia cercando di raggiungere una diffusione di livello planetario.

Kaspersky ha recentemente pubblicato i dati telemetrici riguardanti questo ransomware e i dati sono piuttosto preoccupanti, se teniamo di conto il fatto che Sodinokibi è un ransomware molto molto giovane. La maggior parte delle infezioni riguardano l'Asia: taiwan al 17.56%, Hong Kong e Corea del Sud (8.78%). Altre infezioni sono state registrate in Giappone (8%), Germania (8.5%), Italia (5.10%), Spagna (4.8 %) e Stati Uniti (2%).

Fonte: Kaspersky

La nuova versione di Sodinokibi contiene, in forma criptata, un blocco di configurazione contenente le impostazioni e i dati necessari affinché il ransomware stesso funzioni. Il codice di configurazione contiene i campi necessari per la chiave pubblica, per il numero ID per la campagna e per il distributore, per la sovrascrittura dei dati, ma anche l'elenco delle estensioni file che non devono essere criptate, i nomi dei processi da terminare sulla macchina bersaglio, gli indirizzi dei server di comando e controllo, il template della nota di riscatto e infine i dettagli per l'uso dell'exploit necessario al privilege escalation.

Come cripta i file?
La nuova versione usa uno schema di criptazione ibrido per la criptazione dei file: significa che Sodinokibi usa un algoritmo simmetrico per i file (Salsa20) e una criptazione asimmetrica a curva ellittica per le chiavi. Il ransomware quindi salva nel registro sia la chiave pubblica(usata per criptare i dati) sia quella privata (necessaria per la decriptazione).

La chiave pubblica viene salvata con nome pk_key, la chiave privata invece viene criptata usando l'algoritmo ECIES e salvata nel registro al nome sk_key. Un'altra particolarità è che la chiave privata viene criptata con una seconda chiave pubblica, codificata direttamente nel malware: il risultato viene anch'esso salvato nel registro.

"Il perché di un meccanismo così complesso di criptazione delle chiavi, rarissimo nel mondo del ransomware, è difficile da comprendere" spiega Alessandro Papini, esperto di sicurezza IT e presidente di Accademia Italiana Privacy "molto probabilmente gli autori del ransomware vogliono così assicurarsi di poter decriptare i dati anche nel caso in cui il distributore del malware per quella campagna dovesse scomparire. Questo dato fornisce una precisa indicazione: Sodinokibi è già un ransomware as a service (RaaS), uno di quei ransomware che viene messo in affitto nel Dark Web dai suoi sviluppatori, che ne ottengono un guadagno diretto richiedendo una percentuale del riscatto riscossa dai vari, anonimi, distributori".

Ricordiamo che Sodinokibi aggiunge ai file criptati un'estensione random che è differente per ogni PC che viene colpito. Entrambe le chiavi di criptazione e l'estensione random devono essere inserite nel sito web approntato dai cyber criminali appositamente per mostrare alle vittime a quanto ammonta il riscatto per ottenere di nuovo in chiaro i file.

Ad oggi non esiste un metodo gratuito di decriptare i file.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy