Locky Ransomware

Locky è un malware della famiglia dei Ransomware, che utilizza come vettore di diffusione file di Word con delle macro, spesso ricevuti come allegati a messaggi di posta elettronica aventi come oggetto Fattura oppore Ordine.

La semplice apertura del file non è sufficiente ad innescare l’azione del malware, perchè il file .doc non infettato direttamente dal Ransomware, ma è infettato da una macro che una volta attivata si occupa di scaricare il malware ed avviarlo iniziando la crittografia dei file contenuti sul proprio sistema.

I file crittografati vengono rinominati con l’estensione .locky e nel desktop viene creato un file _Locky_recover_instructions.txt contente le istruzioni per avere la chiave di decrittazione, naturalmente dopo aver pagato in BitCoint.

I file oggetto della crittografia hanno estensione:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Il malware utilizza la crittografia AES a 128 bit con chiave pubblica RSA a 2048bit, ed agisce su tre tipi di dispositivi: fissi (hard disk), dispositivi rimovibili (chiavette USB ed Hard Disk esterni) e ramdisks (condivisioni di rete).

Una curiosità su questo ransomware è che genera una statistica sul numero di file crittografati e li invia al server di riferimento dei gestori dell’attacco.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

TeslaCrypt 4.0

Dopo la grande epidemia di infezioni di TeslaCrypt 3.0 avuta fra i mesi di gennaio e febbraio la nuova versione TeslaCrypt 4.0 è stata rilevata in questi ultimi giorni.

Il vettore dell’infezione è sempre una mail di spam, che si presenta come un fattura o un ordine, contenente un allegato in formato .ZIP che al suo interno contiene un file JavaScript (trojan) che una volta eseguito si occupa di scaricare il malware, che procederà alla crittografia dei file importanti presenti sul disco e sulle aree di rete condivise.

Mentre le versioni precedenti di questo malware aggiungevano le estensioni “.micro”, “.mp3”, “.ecc, “.ezz”, “.exx”, “.xyz”, “.zzz”, “.aaa”, “.abc”, “.ccc” o “vvv” al nome del file, quest’ultima variante lascia inalterato il nome del file, rendeno più difficile il riconoscimento dell’infezione.

L’unica possibilità per capire se il file è stato attaccato è verificare se nell’header del file compaiono le tracce della crittografia

offset size Description
 ————————————–
 0x000 8 0x0000000000000000
 0x008 8 %IDHEX%
 0x010 8 0x0000000000000000
 0x018 65 PublicKeyRandom1_octet
 0x059 32 AES_PrivateKeyMaster
 0x079 31 Padding 0
 0x098 65 PublicKeySHA256Master_octet
 0x0D9 3 0x000000
 0x0DC 65 PublicKeyRandom2_octet
 0x11D 32 AES_PrivateKeyFile
 0x13D 31 Padding 0
 0x15C 16 Initialization vector for AES
 0x16C 4 Size of original file
 AES 256 CBC

inoltre vengono creati dei file, con dei nomi casuali, con le istruzioni per sbloccarli:

%UserProfile%\Desktop\RECOVER[5_chars].html
%UserProfile%\Desktop\RECOVER[5_chars].png
%UserProfile%\Desktop\RECOVER[5_chars].txt
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\recover_file.txt

Dalle istruzioni su come ottenere il riscatto dei file troviamo alcune informazioni utili a comprendere l’azione del malware.

Il malware utilizza la crittografia AES con chiave pubblica RSA a 4096bit, inoltre è stato risolto un bug presente nelle versioni precedenti, in cui i file con dimensione superiore a 4GB nella fase di crittografia venivano danneggiati.

Questo malware ha delle caratteristiche che rischiano di mimetizzarne l’impatto per un lungo periodo, e rendere difficoltoso il recupero da un backup poiché i nomi dei file non vengono modificati.

Alcune tecniche di mitigazione del rischio consistono nel bloccare l’elenco degli indirizzi IP dei server da cui avviene il download del malware, ma questa tecnica espone ancora ad importanti rischi, ai criminali basterebbe aggiungere un nuovo server.

Maktub Ransomware

Maktub è un malware della famiglia del ransomware, che utilizza come vettore di diffusione i messaggi email di spam, aventi come contenuto una informativa sulle nuove condizioni del servizio e sulla privacy da consultare nel documento allegato in formato .ZIP che contiene all’interno un .RTF.

Il malware una volta che è stato attivato, per essere più rapido, effettua prima una operazione di compressione e successivamente effettua la crittografia. I file crittografati, risulteranno avere una estensione modificata a caso utilizzando caratteri minuscoli dalla “a” alla “z” [a-z] e numeri compresi fra 4 e 6 {4,6}

La crittografia utilizza le funzioni crittografiche Windows Crypto API, già incluse nel sistema operativo.

la chiave pubblica RSA a 2048 bit è codificata all’interno del malware, mentre la chiave base viene generata al momento, una funzione genera 32 byte casuali, di cui viene calcolato il rispettivo HASH MD5, che viene convertito nella chiave a 256bit necessaria ad AES per iniziare la crittografia.

In questa maniera nessuna chiave viene trasferita tra la vittima ed il server di gestione del malware, che possiede già la chiave privata RSA, mentre la chiave base viene fornita dalla vittima quando richiede lo sblocco.

Terminata la crittografia dei file compare la tipica per la richiesta di un “riscatto”, la tariffa, espressa come sempre accade in questi casi in BitCoin aumenta nel caso il pagamento non sia tempestivo.

Come accade frequentemente in questi malware, vengono introdotte delle esclusioni, in questo caso il malware non produce nessun effetto se layout della tastiera è impostato sull’id 1049, quello russo. Inoltre vengono escluse dalla crittografia la cartelle:

"\\internet explorer\\;\\history\\;\\mozilla\\;\\chrome\\;\\temp\\;\\program files\\;\\program files (x86)\\;\\microsoft\\;\\chache\\;\\chaches\\;\\appdata\\;"

Questa versione del ransomware ha elementi caratteristici che lo rendono pericoloso nel breve-medio periodo, in particolare ha la tendenza ad essere il meno identificabile possibile, nessuna interazione diretta con i server per lo scambio delle chiavi, le estensioni dei file crittografati cambiano dinamicamente, l’utilizzo di funzioni già presenti nel sistema operativo.

Tuttavia la presenza della chiave pubblica embedded nel codice può renderla vulnerabile e la probabilità che questa possa essere compromessa cresce nel tempo, ma chi è disposto ad aspettare qualche anno per riavere i propri dati gratis?

Proteggersi è molto più conveniente, scopri la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

Typosquatting

Il typosquatting è una tecnica da tempo usata dai criminali informatici per riuscire a truffare la vittima, ma ancora molto attuale ed efficace.

La strategia è molto semplice e consiste nel registrare un nome di dominio (squatting trad. abusivo) molto simile ad uno molto famoso e di cui si ha fiducia, in attesa di una semplice distrazione (typo trad. errore di battitura) per cui l’utente digita l’indirizzo con un piccolo errore ortografico, oppure nella lettura rapida ed approssimativa che spesso si utilizza per gli url l’utente non riesce a rendersi conto della piccola differenza.

Si tratta di un grosso problema per le aziende, vediamo ora un esempio di typosquatting in una mail di phishing di CartaSi.

In questo caso il dominio vittima è CartaSi, vediamo come il mittente del messaggio ed anche il link a cui si accede cliccando usa un dominio cartasj.com con la “j” al posto della “i”.

Cliccando sul link ad attenderci c’è un classico portale di phishing che riproduce fedelmente il portale originale di cartaSi, ma ad attenderci ci sono dei criminali informatici pronti a raccogliere le nostre credenziali.

Effettuando un whois del dominio cartasj.com

Domain Name: CARTASJ.COM
Registry Domain ID: 1986700749_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.register.it
Registrar URL: http://we.register.it
Updated Date: 2015-12-10T00:00:00Z
Creation Date: 2015-12-10T00:00:00Z
Registrar Registration Expiration Date: 2016-12-10T00:00:00Z
Registrar: REGISTER.IT S.P.A.
Registrar IANA ID: 168
Registrar Abuse Contact Email: abuse[at]register.it
Registrar Abuse Contact Phone: +39.0353230310
Reseller:
Domain Status: ok
Registry Registrant ID:
Registrant Name: Global Domain Privacy
Registrant Organization: GLOBAL DOMAIN PRIVACY
Registrant Street: Via Zanchi 22
Registrant City: Bergamo
Registrant State/Province: BG
Registrant Postal Code: 24126
Registrant Country: IT
Registrant Phone: +39.0353230400
Registrant Phone Ext:
Registrant Fax: +39.0353230312
Registrant Fax Ext:
Registrant Email: z16coim68fttx5wf@registerprivateregistration.com
Registry Admin ID:
Admin Name: Global Domain Privacy
Admin Organization: GLOBAL DOMAIN PRIVACY
Admin Street: Via Zanchi 22
Admin City: Bergamo
Admin State/Province: BG
Admin Postal Code: 24126
Admin Country: IT
Admin Phone: +39.0353230400
Admin Phone Ext:
Admin Fax: +39.0353230312
Admin Fax Ext:
Admin Email: z16coim68fttx5wf@registerprivateregistration.com
Registry Tech ID:
Tech Name: Technical Support
Tech Organization: Register.it S.p.A.
Tech Street: Via Montessori s/n
Tech City: Bergamo
Tech State/Province: BG
Tech Postal Code: 24126
Tech Country: IT
Tech Phone: +39.0353230400
Tech Phone Ext:
Tech Fax: +39.0353230312
Tech Fax Ext:
Tech Email: 
Name Server: NS1.REGISTER.IT
Name Server: NS2.REGISTER.IT
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

Possiamo osservare le informazioni sul vero responsabile del dominio sono state offuscate utilizzando le funzionalità di privacy offerte da molti fornitori di servizi, ma che è stato registrato sfruttando un registrant italiano, a conferma che il phishing è un fenomeno globale ma per sconfiggerlo è necessario conoscere le realtà locali.

Vulnerabilità delle applicazioni

Ridurre al minimo i privilegi concessi ad applicazioni ed utenti è una pratica necessaria se non indispensabile per ridurre i rischi di attacco informatico.

Tuttavia a dispetto di quanto si possa pensare questa best practice non è sufficiente da sola. Esistono delle vulnerabilità che permetto all’attaccante di eseguire un payload utilizzando un livello maggiore di privilegi rispetto a quelli che aveva l’applicazione vulnerabile.

E’ essenziale quindi monitorare costantemente le applicazioni vulnerabili ed in base alla gravità occorre procedere con la loro correzione nel più breve tempo possibile.

Prendiamo per esempio la vulnerabilità CVE-2016-0003 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0003 che riguarda Microsoft Edge, il nuovo browser che sostituisce Microsoft Internet Explorer.

Impact
CVSS Severity (version 3.0):
CVSS v3 Base Score: 9.6 Critical
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Impact Score: 6.0
Exploitability Score: 2.8

CVSS Version 3 Metrics:
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Changed
Confidentiality (C): High
Integrity (I): High
Availability (A): High

Questa vulnerabilità, dovuta ad un buffer overflow permette all’attaccante di eseguire del codice arbitrario (payload).

Ma la cosa più temibile è che il codice avrà permessi superiori rispetto alla applicazione vulnerabile (metrica CVSS Scope: Changed).

Il suggerimento è quello di effettuare opportune configurazioni per ridurre al minimo i privilegi delle applicazioni e degli utenti, per diminuire i rischi, ma anche di adottare delle politiche per monitorare e correggere in maniera automatica le vulnerabilità delle applicazioni

Categorie