Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

venerdì 4 dicembre 2020
Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

E’ piuttosto nuovo, è accreditato come il successore del temibile ransomware Maze (che ha annunciato il cessata attività poche settimane fa), ha già colpito bersagli di peso estremamente rilevante (il sistema metropolitano di Vancover, la catena di rivendita libri statunitense Barnes & Noble, la catena di grandi magazzini Kmart, la famosa casa produttrice di videogiochi Ubisoft ecc…) soprattutto negli Usa, ma si contano attacchi e violazioni anche in Europa. In Italia ha colpito duramente il Gruppo Carraro che, paralizzato dall’attacco, ha addirittura dovuto mettere in cassa integrazione 700 dipendenti per il tempo necessario a mitigare gli effetti dell’attacco.

Il nome deriva da “eggregora” che, nel mondo dell’occulto, indica quell’entità incorporea che si produce dall’unione delle energie di singole persone unite collettivamente nel perseguimento di uno scopo comune: si, descrive perfettamente un gruppo di operatori ransomware. E’ attivo da pochissimo tempo, individuato la prima volta in diffusione a metà Settembre del 2020, e specializzato in attacchi mirati contro target aziendali. Non risultano, ad ora, infezioni o attacchi contro utenti non aziendali.

Come tutti i ransomware di nuova generazione, è orientato al modello del doppio riscatto: nella foto sotto è possibile vedere il sito di leak che i suoi sviluppatori utilizzano per pubblicare i dati rubati di quelle aziende che rifiutano di pagare il riscatto o anche solo di avviare una trattativa.

Qualche info tecnica
Eregor sembra collegato alla famiglia del ransomware Sekhmet, poichè sono usate le stesse note di riscatto, siti di pagamento simili e c’è la condivisione di parte dello stesso codice. Per la criptazione utilizza diversi algoritmi, tra i quali i solidissimi AES, RSA-2048 e ChaCha (esattamente come in uso con Maze), combinati tra loro: questo rende estremamente complicata (se non impossibile) la ricerca di una soluzione e la decriptazione dei file senza disporre della chiave privata. ChaCha è un algoritmo di criptazione recente e meno noto, successore di Salsa20 e gode della stessa fama di cui gode AES in termini di solidità: né AES né ChaCha/Salsa20 sono mai stati crackati.

Egregor non si limita, come ormai è comune per i ransomware, a criptare i file, anzi bersaglia funzioni e file specifici in Windows, tra i quali:

%Windows%
%SystemDrive%
%Local%
%LocalLow%
%ProgramData%
%system32%
%Roaming%
%Temp%
allo scopo specifico di ottenere la persistenza sui sistemi infetti. Può anche eseguire alcune funzionalità specifiche, prima tra tutti una funzionalità di verifica che gli permette di testare l’ambiente in cui si sta eseguendo: nel caso il test riveli l’esecuzione in SandBox o VirtualMachine il malware si auto termina e si cancella. E’ una comunissima tecnica che molti operatori ransomware utilizzano per impedire che il codice del malware finisca intrappolato in qualche “falso bersaglio” approntato da ricercatori a finalità di analisi e ricerca: insomma, uno strumento di anti debugging.

Ne ha molti altri: ad esempio presenta un alto livello di offuscamento del codice e un payload “impacchettato” appositamente ed esegue anche una API Windows che rende ancora più complessa l’individuazione, come si può vedere sotto

Può anche ottenere i privilegi di amministrazione sulla macchina colpita poi diffondersi lungo la rete, esfiltrando tutte le password e tutte le credenziali di accesso che trova sulla sua strada.

Ha la capacità di modificare il registro di sistema di Windows, in dettaglio:

CurrentVersionRun;
CurrentVersionRunOnce;
LogonUIBackground;
WindowsPersonalization;
Control PanelDesktop;
CurrentVersionRun.
Esegue anche una verifica in cerca di Logmein nel log eventi, nel tentativo di criptare anche gli eventuali file che dovessero essere presenti su machine remote o server connessi alla macchina bersaglio.

Infine ha una funzionalità specifica per impedire il ripristino dei sistemi infetti usando le copie shadow di Windows o i backup: per farlo interrompe servizi come WinDefend o usa comandi come C:WindowsSystem32cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet per le copie Shadow.

Modalità di ricatto
Come già accennato, Egregor ha adottato la tecnica del doppio riscatto che gli ha tramandando Maze: un riscatto è richiesto per ottenere il tool di decriptazione necessario a riportare in chiaro i file, uno invece per far distruggere i file rubati e scongiurarne la pubblicazione.

A qualche giorno fa risale invece al scoperta di una nuova narrazione estorsiva, dove le vittime diventano clienti e i riscatti dei contratti: la nuova tecnica è stata scoperta dall’esperto di cyber sicurezza MalwareHunterTeam. Gli autori del malware hanno anche stabilito delle regole, tra le quali l’assicurazione che non procederanno alla pubblicazione o divulgazione dei file rubati finché la vittima non avrà comunicato la propria volontà in merito allo stipulare o meno un “contratto” con gli attaccanti. Se però entro 3 giorni la vittima non avrà contattato gli attaccanti, le informazioni rubate saranno pubblicate nella misura dell’1-3% del totale, salvo poi ovviamente aumentare col passare del tempo. Nel caso in cui una vittima decida di “sottoscrivere un contratto” on gli attaccanti e pagare il riscatto, gli attaccanti garantiscono la non pubblicazione dei dai rubati e anzi, la completa cancellazione senza possibilità di recupero di tutti i file rubati in loro possesso: l’operazione verrà garantita con uno specifico log di cancellazione che il gruppo avrà cura di inviare al proprio “cliente”.

D’altra parte, sarà invece durissima la linea che verrà adottata verso i “clienti ribelli” che si rifiuteranno di sottoscrivere il contratto o non lo rispetteranno: in questo caso gli attaccanti annunciano che illustreranno la struttura dei dati rubati a terze parti, così che queste possano scegliere quali dati comperare. Su questo, specifica la nota recentemente rilasciata, gli attaccanti non si porranno alcun limite: non si interesseranno minimamene sul chi vorrà comprare questi dati e per quale finalità.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy