Maktub Ransomware

Maktub è un malware della famiglia del ransomware, che utilizza come vettore di diffusione i messaggi email di spam, aventi come contenuto una informativa sulle nuove condizioni del servizio e sulla privacy da consultare nel documento allegato in formato .ZIP che contiene all’interno un .RTF.

Il malware una volta che è stato attivato, per essere più rapido, effettua prima una operazione di compressione e successivamente effettua la crittografia. I file crittografati, risulteranno avere una estensione modificata a caso utilizzando caratteri minuscoli dalla “a” alla “z” [a-z] e numeri compresi fra 4 e 6 {4,6}

La crittografia utilizza le funzioni crittografiche Windows Crypto API, già incluse nel sistema operativo.

la chiave pubblica RSA a 2048 bit è codificata all’interno del malware, mentre la chiave base viene generata al momento, una funzione genera 32 byte casuali, di cui viene calcolato il rispettivo HASH MD5, che viene convertito nella chiave a 256bit necessaria ad AES per iniziare la crittografia.

In questa maniera nessuna chiave viene trasferita tra la vittima ed il server di gestione del malware, che possiede già la chiave privata RSA, mentre la chiave base viene fornita dalla vittima quando richiede lo sblocco.

Terminata la crittografia dei file compare la tipica per la richiesta di un “riscatto”, la tariffa, espressa come sempre accade in questi casi in BitCoin aumenta nel caso il pagamento non sia tempestivo.

Come accade frequentemente in questi malware, vengono introdotte delle esclusioni, in questo caso il malware non produce nessun effetto se layout della tastiera è impostato sull’id 1049, quello russo. Inoltre vengono escluse dalla crittografia la cartelle:

"\\internet explorer\\;\\history\\;\\mozilla\\;\\chrome\\;\\temp\\;\\program files\\;\\program files (x86)\\;\\microsoft\\;\\chache\\;\\chaches\\;\\appdata\\;"

Questa versione del ransomware ha elementi caratteristici che lo rendono pericoloso nel breve-medio periodo, in particolare ha la tendenza ad essere il meno identificabile possibile, nessuna interazione diretta con i server per lo scambio delle chiavi, le estensioni dei file crittografati cambiano dinamicamente, l’utilizzo di funzioni già presenti nel sistema operativo.

Tuttavia la presenza della chiave pubblica embedded nel codice può renderla vulnerabile e la probabilità che questa possa essere compromessa cresce nel tempo, ma chi è disposto ad aspettare qualche anno per riavere i propri dati gratis?

Proteggersi è molto più conveniente, scopri la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

Typosquatting

Il typosquatting è una tecnica da tempo usata dai criminali informatici per riuscire a truffare la vittima, ma ancora molto attuale ed efficace.

La strategia è molto semplice e consiste nel registrare un nome di dominio (squatting trad. abusivo) molto simile ad uno molto famoso e di cui si ha fiducia, in attesa di una semplice distrazione (typo trad. errore di battitura) per cui l’utente digita l’indirizzo con un piccolo errore ortografico, oppure nella lettura rapida ed approssimativa che spesso si utilizza per gli url l’utente non riesce a rendersi conto della piccola differenza.

Si tratta di un grosso problema per le aziende, vediamo ora un esempio di typosquatting in una mail di phishing di CartaSi.

In questo caso il dominio vittima è CartaSi, vediamo come il mittente del messaggio ed anche il link a cui si accede cliccando usa un dominio cartasj.com con la “j” al posto della “i”.

Cliccando sul link ad attenderci c’è un classico portale di phishing che riproduce fedelmente il portale originale di cartaSi, ma ad attenderci ci sono dei criminali informatici pronti a raccogliere le nostre credenziali.

Effettuando un whois del dominio cartasj.com

Domain Name: CARTASJ.COM
Registry Domain ID: 1986700749_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.register.it
Registrar URL: http://we.register.it
Updated Date: 2015-12-10T00:00:00Z
Creation Date: 2015-12-10T00:00:00Z
Registrar Registration Expiration Date: 2016-12-10T00:00:00Z
Registrar: REGISTER.IT S.P.A.
Registrar IANA ID: 168
Registrar Abuse Contact Email: abuse[at]register.it
Registrar Abuse Contact Phone: +39.0353230310
Reseller:
Domain Status: ok
Registry Registrant ID:
Registrant Name: Global Domain Privacy
Registrant Organization: GLOBAL DOMAIN PRIVACY
Registrant Street: Via Zanchi 22
Registrant City: Bergamo
Registrant State/Province: BG
Registrant Postal Code: 24126
Registrant Country: IT
Registrant Phone: +39.0353230400
Registrant Phone Ext:
Registrant Fax: +39.0353230312
Registrant Fax Ext:
Registrant Email: z16coim68fttx5wf@registerprivateregistration.com
Registry Admin ID:
Admin Name: Global Domain Privacy
Admin Organization: GLOBAL DOMAIN PRIVACY
Admin Street: Via Zanchi 22
Admin City: Bergamo
Admin State/Province: BG
Admin Postal Code: 24126
Admin Country: IT
Admin Phone: +39.0353230400
Admin Phone Ext:
Admin Fax: +39.0353230312
Admin Fax Ext:
Admin Email: z16coim68fttx5wf@registerprivateregistration.com
Registry Tech ID:
Tech Name: Technical Support
Tech Organization: Register.it S.p.A.
Tech Street: Via Montessori s/n
Tech City: Bergamo
Tech State/Province: BG
Tech Postal Code: 24126
Tech Country: IT
Tech Phone: +39.0353230400
Tech Phone Ext:
Tech Fax: +39.0353230312
Tech Fax Ext:
Tech Email: 
Name Server: NS1.REGISTER.IT
Name Server: NS2.REGISTER.IT
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

Possiamo osservare le informazioni sul vero responsabile del dominio sono state offuscate utilizzando le funzionalità di privacy offerte da molti fornitori di servizi, ma che è stato registrato sfruttando un registrant italiano, a conferma che il phishing è un fenomeno globale ma per sconfiggerlo è necessario conoscere le realtà locali.

Vulnerabilità delle applicazioni

Ridurre al minimo i privilegi concessi ad applicazioni ed utenti è una pratica necessaria se non indispensabile per ridurre i rischi di attacco informatico.

Tuttavia a dispetto di quanto si possa pensare questa best practice non è sufficiente da sola. Esistono delle vulnerabilità che permetto all’attaccante di eseguire un payload utilizzando un livello maggiore di privilegi rispetto a quelli che aveva l’applicazione vulnerabile.

E’ essenziale quindi monitorare costantemente le applicazioni vulnerabili ed in base alla gravità occorre procedere con la loro correzione nel più breve tempo possibile.

Prendiamo per esempio la vulnerabilità CVE-2016-0003 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0003 che riguarda Microsoft Edge, il nuovo browser che sostituisce Microsoft Internet Explorer.

Impact
CVSS Severity (version 3.0):
CVSS v3 Base Score: 9.6 Critical
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Impact Score: 6.0
Exploitability Score: 2.8

CVSS Version 3 Metrics:
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Changed
Confidentiality (C): High
Integrity (I): High
Availability (A): High

Questa vulnerabilità, dovuta ad un buffer overflow permette all’attaccante di eseguire del codice arbitrario (payload).

Ma la cosa più temibile è che il codice avrà permessi superiori rispetto alla applicazione vulnerabile (metrica CVSS Scope: Changed).

Il suggerimento è quello di effettuare opportune configurazioni per ridurre al minimo i privilegi delle applicazioni e degli utenti, per diminuire i rischi, ma anche di adottare delle politiche per monitorare e correggere in maniera automatica le vulnerabilità delle applicazioni

Vulnerabilità delle applicazioni: Metrica Ambiente

Environmental Metrics

Queste metriche dello standard CVSS consentono all’analista di personalizzare il punteggio CVSS a seconda, per l’organizzazione, dell’importanza della risorsa IT interessata alla vulnerabilità, misurato in termini di controlli di sicurezza complementari, riservatezza, integrità e disponibilità.

Security Requirements (CR, IR, AR)

L’effetto del punteggio ambientale è costituito da dei modificatori che vengono valutati con le corrispondenti metriche Base. Cioè, questi parametri modificano il punteggio già assegnato sulle caratteristiche di riservatezza, integrità e disponibilità.
Ad esempio, il modificatore impatto sulla riservatezza (MC) è aumentato di peso se il requisito di riservatezza (CR) è alto. Allo stesso modo, il peso della metrica impatto riservatezza è diminuito se il requisito riservatezza è basso. Questo stesso processo viene applicato ai requisiti integrità e disponibilità.

Modified Basic Metric

Queste metriche consentono all’analista di rideterminare i parametri in base alle modifiche che sono state fatte all’interno dell’ambiente. Cioè, se un ambiente ha apportato modifiche generali per il software interessato che si differenzia in modo che possa modificare, per un attacco, la sfruttabilità, l’ambito, o l’impatto, è possibile far riflettere questo tramite un appropriato punteggio ambientale.
Il pieno effetto sul punteggio ambientale è determinato dai parametri di base corrispondenti.
Ad esempio, la configurazione di default per un componente vulnerabile può essere quello di eseguire un servizio di ascolto con i privilegi di amministratore, e potrebbe concedere la possibiltà di effettuare un attacco che comprometta riservatezza, integrità e disponibilità del servizio.
Nell’ambiente dell’analista, quel servizio è in esecuzione con privilegi ridotti; in tal caso, i modificatori possono essere impostato su Basso ed abbassare il punteggio della vulnerabilità.

Vulnerabilità delle applicazioni: metrica Temporale

Le metriche temporali, definite dallo standard CVSS, misurano la possibilità in questo momento di sfruttare l’attacco, l’esistenza di eventuali patch o soluzioni alternative, o la fiducia che si ha nella descrizione di una vulnerabilità.

Exploit Code Maturity (E)

Questa metrica misura la probabilità che la vulnerabilità venga sfruttata, e si basa sullo stato attuale delle tecniche utilizzabili, la disponibilità del codice, o la disponibilità di semplici script capaci di sfruttarla aumenta il numero di potenziali aggressori includendo quelli che sono non veri professionisti, aumentando la gravità della vulnerabilità. Inizialmente, lo sfruttamento del mondo reale può essere solo teorica.
In seguito avviene la pubblicazione di codice proof-of-concept, codice exploit funzionante, o dettagli tecnici sufficienti necessarie per sfruttare la vulnerabilità. Nei casi più gravi, può essere utilizzato come payload di un altri strumenti di attacco automatizzati: worm o virus.

Remediation Level (RL)

Il livello di rimedio RL di una vulnerabilità è un fattore importante per definire la priorità di risoluzione. La vulnerabilità tipicamente appena viene pubblicata è senza patch. Soluzioni alternative o correzioni possono offrire delle soluzioni provvisorie fino a quando una patch ufficiale o l’aggiornamento viene rilasciato. Ognuno di questi rispettivi stadi definisce questo punteggio temporale, che riflette la pericolosità diminuendo fino a quando la soluzione diventa definitiva.

Report Confidence (RC)

Questa metrica misura il grado di fiducia nell’esistenza della vulnerabilità e la credibilità dei dettagli tecnici noti. A volte è nota solo l’esistenza della vulnerabilità, ma non sono pubblicati dettagli specifici. La pericolosità e di conseguenza l’urgenza di porre rimedio ad una vulnerabilità è maggiore quando è nota l’esistenza con certezza. Questa metrica suggerisce anche il livello di conoscenze tecniche a disposizione degli aspiranti aggressori.