Il ransomware Ragnarock colpisce in Italia: qualche info tecnica

mercoledì 24 marzo 2021
Il ransomware Ragnarock colpisce in Italia: qualche info tecnica

Ragnarok è un ransomware il cui debutto sulle scene del cybercrime è piuttosto recente: specializzato in attacchi mirati contro le aziende, ha già mietuto alcune vittime anche in Italia.

Le analisi dei ricercatori di FireEye hanno fornito importanti informazioni su questa minaccia, che pare specializzata nell’attaccare i server Citrix ADC vulnerabili. In dettaglio gli attaccanti sfruttano la già nota vulnerabilità CVE-2019-19781 per accedere ai sistemi bersaglio e installare quindi Ragnarock. Quando l’attaccante riesce a compromettere un dispositivo Citrix ADC, vengono subito scaricati ed eseguiti una serie di script che ricercano nella rete computer Windows che presentano la vulnerabilità EternalBlue (anche questa patchata da tempo). Se tale vulnerabilità viene individuata e l’exploit ha successo, viene successivamente iniettata una DLL che scarica e installa il ransowmare.

La vulnerabilità CVE-2019-19781
Per quanto non sia possibile escludere altri vettori di attacco, la maggior parte delle infezioni del ransomware Ragnarock originano dall’exploit della vulnerabilità CVE-2019-19781 che è presente nelle applicazioni Citrix Application Delivery Controller (ADC) e Citrix Gateway e nell’appliance Citrix SD-WAN WANOP.

Da parte sua, Citrix è già corsa ai ripari rendendo disponibile la versione 10.5 dell’ADC, che contiene il fix permanente per questa vulnerabilità (link di riferimento per la problematica qui) .

Qualche dettaglio tecnico
Ragnarock presenta meccanismi di verifica del linguaggio in uso sul sistema infetto: gli operatori verificano l’ID linguaggio di Windows installato e, se questo combacia con uno di quelli sotto elencati, la routine di criptazione non verrà inviata.

419 = Russia
0423 = Bielorussia
0444 = Russia
0442 = Turkmenistan
0422 = Ucraina
0426 = Lituania
043f = Kazakistan
042c = Azerbaijan
0804 = Cina

Se il test della lingua ha successo, gli operatori proseguono nell’attacco cercando, per prima cosa, di disabilitare Windows Defender: questo programma di sicurezza è sempre più solido e sta creando non pochi grattacapi ai cyber attaccanti che, quindi, hanno risposto mettendolo sotto assedio. GootKit, TrickBot e altre infezioni si sono dotate di svariati meccanismi per riuscire a bypassare Windows Defender. Anche Ragnarock si aggiunge a questa lista, aggiungendo le seguenti policies group per disabilitare varie protezioni di Windows Defender:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender “DisableAntiSpyware” = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection “DisableRealtimeMonitoring” = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection “DisableBehaviorMonitoring” = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection “DisableOnAccessProtection” = 1

C’è però una buona notizia: gli utenti che hanno abilitato la funzione di Protezione Antimanomissione di Windows 10 sono al sicuro da queste modifiche perchè Windows, semplicemente, ignorerà ogni tentativo di bypassare Windows Defender.

Come tutti i ransomware Ragnarock tenterà anche di cancellare le Shadow Volume Copies, disabilitare il ripristino del sistema e disattivare il Firewall di Windows con i comandi

cmd.exe /c vssadmin delete shadows /all /quiet;
cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures;
cmd.exe /c bcdedit /set {current} recoveryenabled no;
cmd.exe /c netsh advfirewall set allprofiles state off

Anche Linux nel mirino?
I ricercatori hanno anche individuato una serie di strani riferimenti a percorsi file Unix/Linux nell’eseguibile per Windows del ransomware. Non è chiara la loro funzione, ma i ricercatori sospettano che siano indizi di “lavori in corso”, ovvero che gli sviluppatori del ransomware stiano approntando un’arma cross-platform.

La routine di criptazione
La routine di criptazione di Ragnarock è del tutto simile a quella di molti altri ransomware e non presenta particolarità. Quando cripta i file usa la criptazione AES e la chiave generata sarà a sua volta criptata con una chiave di criptazione RSA correlata. In questo modo soltanto gli sviluppatori del ransomware hanno la facoltà di decriptare la chiave di criptazione della vittima.

Ogni file criptato vedrà l’aggiunta dell’estensione .ragnarock al nome del file
Fonte: Vitali Kremez

La nota di riscatto !!ReadMe_To_Decrypt_My_Files.txt. verrà copiata in ogni cartella contenente file criptati. Oltre alle indicazioni per le vittime, la nota contiene tre diversi indirizzi di contatto mail per ricevere le istruzioni di pagamento.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy