<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=50912&amp;fmt=gif">

Ransomware CryptXXX: ora anche tramite Exploit

[fa icon="calendar"] 04/05/16 18.39 / da Cristiano Pastorello

ransomware cryptxxx

 

Siamo ancora qui a parlare di un nuovo tipo di ransomware, questo si chiama CryptXXX ed è in circolazione dall’inizio di Aprile, a rischio di diventare monotono ma è il caso che ve ne parli.

Questa volta è stata grande la tentazione di scrivere il nostro articolo settimanale su un altro argomento, ma purtroppo un informativa di questo tipo non poteva aspettare oltre. Tempo al tempo e potremo parlare anche di altri temi molto interessanti sulla sicurezza informatica, ve lo prometto.

Prima notizia, questo non si diffonde tramite mail phishing e non sfrutta il social engineering. Se pensiamo a come proteggerci dal ransomware CryptXXX dimentichiamoci delle best practices per gli utenti nell’utilizzo della posta e anche di antispam.

Il suo scopo finale non è una novità e non possiede nessuna caratteristica degna di nota rispetto ad altri come Locky o Cryptowall o Cryptolocker. Tantomeno la tecnica utilizzata per provocarne l’esecuzione sul PC è del tutto nuova.

Vi spiego perché allora ne parliamo.

Nella nostra testa per essere infettati da un ransomware è necessario aprire un file allegato o cliccare su un link nel corpo della mail, ciò cha accomuna questi due casi è che la minaccia arriva da noi e ci frega.

In questo caso invece siamo noi ad andare dalla minaccia, inconsciamente, perché?

Perché ci aspetta in un sito web normalissimo, ma compromesso. Sito che precedentemente è stato scelto dagli hacker perché attira molto traffico, perché non appartiene a nessuna categoria definita pericolosa e perché violabile attraverso vulnerabilità software. Un sito di una normalissima azienda o ente con una buona visibilità e attrattiva.

CryptXXX aspetta che andiamo a visitarlo ignari di tutto, quindi tante best practices e attenzioni in questo caso non contano, è solo questione di s***a.

L’attacco è partito da Angler, un exploit kit molto famoso identificato nel 30% dei siti web compromessi.

Questo tool attacca su larghissima scala e contiene set di istruzioni dedicate ad attaccare versioni di software specifico, che avrà quindi vulnerabilità specifiche, conosciute dagli hacker sicuramente, dagli sviluppatori … non è detto.

Ricordiamoci che come gli sviluppatori di un software lo analizzano in cerca di vulnerabilità, anche gli hacker lo fanno assiduamente, perché nel momento in cui ne trovano una, hanno trovato un modo certo per portare a termine un attacco. Infatti la maggior parte delle patch di sicurezza vengono sviluppate in seguito ad indagini forensi sugli attacchi subiti dalle aziende.

Ecco, Angler prova ad attaccare su larga scala verso tutti i buchi che conosce e riesce ad entrare su ogni sistema che ha uno di quei buchi. In altre parole sfruttare una vulnerabilità consente di caricare ed eseguire del codice maligno su un client o server.

Come detto la fase 0 prevede la violazione di una piattaforma Web, che è composta da una gerarchia di elementi software, partendo dal basso: sistema operativo, servizio web, ftp e database, CMS e relativi plugin, moduli e componenti. Questi contengono tutti più o meno vulnerabilità sfruttabili tramite exploit.

E qui potremmo aprire un dibattito sul mondo proprietario vs. open source, molto volentieri ma in un’altra sede.

I cyber-criminali utilizzando Angler hanno violato molteplici siti Web e in questo modo sono riusciti caricarvi Angler stesso e le due componenti dell’ attacco a doppia fase: il trojan Bedep e la .dll di cifratura CryptXXX.

Vediamo come questo cryptovirus riuscirà ad arrivare sui nostri PC.

Nel momento in cui visitiamo la pagina web in questione ci imbattiamo in un “malvertisement”, ovvero un annuncio pubblicitario malevolo che ci appare davanti automaticamente e che, normalmente, avrebbe bisogno di un click dell’utente per poter avviare qualche malanno.

Ma qui c’è l’inghippo, in questo caso l’infezione si innesca senza la necessità di nessuna azione dell’utente.

Il malvertisement ci indirizza verso una “Exploit Kit Landing Page” nella quale gira Angler e raccoglie informazioni sulle versioni del software presente nel nostro sistema, identifica quali vulnerabilità può sfruttare tra quelle che conosce e procede con l’infezione.

Ad oggi la stragrande maggioranza dei casi è riconducibile alla CVE-2015-0313 di Flash, sfruttabile da remoto tramite l’exploit SWF_EXPLOIT.MJST, ma l’attacco può essere portato utilizzando altri exploit in grado di eseguire il passo successivo.

L’Exploit installa direttamente sulla memoria del nostro PC il trojan Bedep, si tratta quindi di un’installazione “fileless”.

Bedep ha una partenza ritardata di 62 minuti, aspetto che rende difficile collegare l’infezione alla sua causa, quindi al sito dal quale è partita. Oltre a questo consiste anche in una tecnica di evasione dell’antivirus.

Si tratta precisamente di un “dropper” che quando entra in esecuzione scarica la .dll dal suddetto sito Web compromesso.

Questa cripta tutti i file del PC e di tutto ciò che può raggiungere in “\\” con un algoritmo RSA4096.

I file cifrati hanno estensione “.crypt” e in ogni cartella vengono creati i seguenti 3 file:

  • de_crypt_readme.txt
  • de_crypt_readme.bmp
  • de_crypt_readme.html

Possiede anche features di spyware, trasmette all’esterno informazione sensibili e oltretutto ruba eventuali bitcoin presenti nel file “wallet”.

Il riscatto si aggira attorno ai 500€, cifra ragionevolmente bassa, inoltre ci offrono la possibilità di decifrare gratuitamente 1 file, questo per dare la prova che possiamo fidarci e versare il riscatto. Che gentili.

Anche in questo caso non abbiamo la certezza di poter decifrare da soli i nostri file ma ci sono stati dei casi di successo utilizzando il tool sviluppato per il Rannoh ransomware, vale la pena provare.

Ecco un cryptovirus che non viene veicolato tramite la posta elettronica, per questo dobbiamo dare maggiore importanza ad alcune attività che spesso sono ancora incredibilmente sottovalutate, a maggior ragione perché non riguardano solo la minaccia di cui stiamo parlando ma uno spettro molto ampio.

Dobbiamo rivalutare:

Non perdere tempo, valuta lo stato di sicurezza della tua rete, come ?

Con un Security Check Up, questo è il fac-simile di un report generato da questo tipo di attività, scaricalo e immagina di avere lo stesso documento con i dati reali della tua rete e quanto ti possono essere utili per prendere le decisioni più corrette sulle strategie di sicurezza da implementare.

report-checkpoint 

Categorie: Ransomware

Cristiano Pastorello

Scritto da Cristiano Pastorello

Information Security Manager & Privacy Officer presso ArchiMedia srl. Nonostante i miei studi partiti come geometra, la mia passione per il pc e per tutto quello che sta oltre a quell'involucro di plastica mi hanno trascinato completamente nel settore dell'informatica, tanto da diventare Information Security Manager di ArchiMedia. In questi anni ho seguito importanti progetti come quelli che riguardano la sicurezza informatica del Comune di Verona e di Italscania. In questo ultimo periodo ho deciso inoltre di specializzarmi sul campo del Data Protection ottenendo la Certificazione Federprivacy come Privacy Officer.